Guida in linea per amministratori di Sophos Mobile Control
Transcript
Guida in linea per amministratori di Sophos Mobile Control
Sophos Mobile Control Guida in linea per amministratori Versione prodotto: 6.1 Data documento: agosto 2016 Sommario 1 Informazioni sulla guida in linea.........................................................................................5 2 Informazioni su Sophos Mobile Control..............................................................................6 3 Console Web di Sophos Mobile Control.............................................................................8 3.1 Interfaccia utente della console Web....................................................................8 3.2 Prerequisiti............................................................................................................9 3.3 Ruoli utente della console Web............................................................................9 3.4 Accesso alla console Web..................................................................................10 3.5 Disconnessione dalla console Web....................................................................10 3.6 Cambio della password......................................................................................10 3.7 Ripristino della password....................................................................................11 4 Passaggi chiave per la gestione dei dispositivi tramite console Web...............................12 5 Pannello di controllo.........................................................................................................13 6 Report..............................................................................................................................14 7 Operazioni........................................................................................................................15 7.1 Operazioni di monitoraggio.................................................................................15 8 Impostazioni generali.......................................................................................................19 8.1 Configurazione delle impostazioni personali......................................................19 8.2 Configurazione dei criteri delle password...........................................................20 8.3 Configurazione delle impostazioni di SMC.........................................................20 8.4 Abilita servizio Push di Baidu Cloud...................................................................21 8.5 Configurazione delle impostazioni per iOS.........................................................21 8.6 Configurazione dell’intervallo di polling per i dispositivi Windows......................22 8.7 Configurazione delle E-mail................................................................................23 8.8 Configurazione dei dati di contatto del supporto tecnico....................................23 8.9 Definizione delle proprietà del cliente.................................................................23 9 Configurazione del portale self-service............................................................................25 9.1 Creazione di gruppi del portale self-service con gestione utenti interni.............25 9.2 Configurazione delle impostazioni del portale self-service.................................26 9.3 Impostazioni disponibili per il portale self-service..............................................28 9.4 Gestione degli utenti del portale self-service......................................................30 10 Impostazione del sistema...............................................................................................35 10.1 Verifica delle licenze.........................................................................................35 10.2 Caricamento del keystore di Apple Push Notification.......................................35 10.3 Configurazione delle destinazioni iOS AirPlay..................................................36 10.4 Licenza Samsung KNOX..................................................................................36 2 10.5 Configurazione di SCEP...................................................................................36 10.6 Configurazione delle impostazioni utente.........................................................40 11 Regole di conformità......................................................................................................41 11.1 Crea regole di conformità.................................................................................41 11.2 Impostazioni di conformità disponibili...............................................................43 11.3 Assegnazione di regole di conformità ai gruppi di dispositivi...........................47 11.4 Verifica della conformità dei dispositivi.............................................................47 12 Aggiunta di dispositivi a Sophos Mobile Control............................................................48 12.1 Aggiungi dispositivo..........................................................................................48 12.2 Duplicazione di un dispositivo..........................................................................49 12.3 Importa dispositivi.............................................................................................49 13 Utilizzo di profili e criteri..................................................................................................51 13.1 Creazione di profili e criteri per Android...........................................................51 13.2 Supporto di Samsung KNOX............................................................................76 13.3 Creazione di profili e criteri per iOS..................................................................77 13.4 Creazione di criteri per Windows Mobile o Desktop.......................................112 13.5 Segnaposti all’interno di profili e criteri...........................................................125 13.6 Trasferimento dei profili...................................................................................126 13.7 Assegnazione dei criteri.................................................................................126 13.8 Download di profili e criteri dalla console web................................................127 13.9 Regole di complessità della password per Windows Desktop........................127 14 Utilizzo dei bundle delle operazioni..............................................................................129 14.1 Creazione di bundle delle operazioni..............................................................129 14.2 Duplicazione dei bundle delle operazioni.......................................................130 14.3 Trasferimento dei bundle delle operazioni a dispositivi singoli o a gruppi di dispositivi............................................................................................................130 15 Utilizzo delle app..........................................................................................................132 15.1 Aggiungi app...................................................................................................132 15.2 Installa app.....................................................................................................133 15.3 Disinstallazione delle app...............................................................................134 15.4 Gestione delle app acquistate con l’Apple VPP..............................................135 15.5 Configurazione per app VPN e impostazioni per app iOS..............................139 16 Utilizzo dei gruppi di app..............................................................................................141 16.1 Crea gruppo di app.........................................................................................141 16.2 Importa gruppo di app....................................................................................142 17 Distribuzione di documenti aziendali............................................................................143 17.1 Aggiunta di documenti aziendali.....................................................................143 18 Gestione dei dispositivi.................................................................................................145 18.1 Vista dispositivi...............................................................................................145 3 18.2 Modifica dei dispositivi....................................................................................148 18.3 Registrazione dei dispositivi tramite console Web di Sophos Mobile Control................................................................................................................150 18.4 Disattivazione dei dispositivi...........................................................................153 18.5 Gruppi di dispositivi........................................................................................154 18.6 Registrazione automatica di dispositivi iOS....................................................155 18.7 Gestione dei dispositivi acquistati con l’Apple DEP........................................156 19 Creazione di amministratori..........................................................................................164 20 Invio di messaggi ai dispositivi.....................................................................................165 20.1 Invio di messaggi a dispositivi singoli.............................................................165 21 Licenze SMC Advanced...............................................................................................166 21.1 Licenze attive per installazioni in sede...........................................................166 21.2 Attivazione di licenze per le installazioni del Software as a Service...............166 22 Gestione di Sophos Mobile Security da Sophos Mobile Control..................................167 22.1 Configurazione delle impostazioni antivirus per Sophos Mobile Security......167 22.2 Configurazione delle impostazioni di filtraggio web per Sophos Mobile Security..............................................................................................................169 22.3 Definizione delle impostazioni di conformità di Sophos Mobile Security........170 22.4 Visualizzazione dei risultati della scansione di Sophos Mobile Security........171 23 Gestione delle app contenitore Sophos.......................................................................173 23.1 Configurazione delle app contenitore Sophos................................................174 23.2 Reimposta password dell'app contenitore Sophos.........................................174 23.3 Blocco e sblocco del contenitore Sophos.......................................................174 23.4 Sincronizzazione dei keyring aziendali...........................................................175 24 Glossario......................................................................................................................177 25 Supporto tecnico..........................................................................................................179 26 Note legali....................................................................................................................180 4 Guida in linea per amministratori 1 Informazioni sulla guida in linea Questa guida in linea descrive come utilizzare la console Web di Sophos Mobile Control. Ulteriori informazioni sono disponibili nei seguenti documenti: ■ Per una descrizione dettagliata dell'installazione di Sophos Mobile Control, consultare la Guida all'installazione di Sophos Mobile Control. questa guida non è rilevante per Sophos Mobile Control as a Service. ■ Per informazioni sull'utilizzo della console Web di Sophos Mobile Control per la gestione dei clienti in qualità di amministratori con privilegi avanzati (super administrator), consultare la Guida per super administrator di Sophos Mobile Control. questa guida non è rilevante per Sophos Mobile Control as a Service. ■ Per una descrizione dei passaggi chiave necessari per effettuare la configurazione iniziale, consultare la Guida di avvio di Sophos Mobile Control e la Guida di avvio di Sophos Mobile Control as a Service. ■ Per ulteriori informazioni sul portale self-service di Sophos Mobile Control, consultare la Guida in linea per utenti di Sophos Mobile Control. Convenzioni del documento In questa guida in linea vengono utilizzate le seguenti convenzioni: ■ A meno che non venga diversamente indicato, il termine Windows Mobile si riferisce ai sistemi operativi Windows Phone 8.x e Windows 10, edizioni Mobile e Mobile Enterprise. ■ A meno che non venga diversamente indicato, il termine Windows Desktop o Windows 10 Desktop si riferisce al sistema operativo Windows 10, edizioni Pro, Enterprise, Education e Home. ■ A meno che non venga diversamente indicato, per tutte le procedure si presume che l'accesso alla console web di Sophos Mobile Control sia stato effettuato mediante un account amministratore. 5 Sophos Mobile Control 2 Informazioni su Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control è uno strumento di gestione per dispositivi mobili, quali smartphone e tablet, e dispositivi Windows 10 Desktop. Consente di proteggere i dati aziendali grazie alla gestione delle app e della sicurezza. Il sistema di Sophos Mobile Control è composto da un server e un componente client. Il server è il componente principale del prodotto Sophos Mobile Control. Fornisce un'interfaccia web che consente di gestire Sophos Mobile Control e i dispositivi registrati. Il client è un'app da installare sui dispositivi. Supporta setup e configurazione over-the-air mediante l'interfaccia web del server di Sophos Mobile Control. Grazie al portale self-service di Sophos Mobile Control per gli utenti, è possibile ridurre il carico di lavoro del reparto IT dell'azienda, consentendo agli utenti di registrare i dispositivi in maniera indipendente ed effettuare altre operazioni senza dover ricorrere all'intervento dell'helpdesk. Sophos Mobile Control può anche essere utilizzato per gestire le seguenti app per dispositivi mobili: Sophos Mobile Security, Sophos Secure Workspace e Sophos Secure Email. Si richiede una licenza SMC Advanced. Sophos Mobile Security Sophos Mobile Security è un'app di sicurezza per dispositivi Android. Durante l'installazione le app verranno automaticamente sottoposte a scansione, utilizzando le informazioni messa a disposizione dai SophosLabs. Questa funzione antivirus impedisce l'installazione di software indesiderati, che possono esserre causa di perdita di dati e spese impreviste. Sophos Secure Workspace Sophos Secure Workspace è un'app per dispositivi Android e iOS che offre un'area di lavoro sicura, nella quale gli utenti possono navigare, gestire, modificare, condividere, cifrare e decifrare documenti provenienti da vari provider di servizi di archiviazione, o distribuiti dalla vostra azienda. È realizzata per prevenire la perdita dei dati anche in caso di furto o smarrimento del dispositivo, o di invio di un documento al destinatario sbagliato. I file possono essere decifrati e visualizzati in modo semplice e trasparente. I file provenienti da altre app possono essere cifrati e caricati su uno dei servizi di archiviazione in-the-cloud supportati, oppure salvati in localmente all’interno di Sophos Secure Workspace. Sophos Secure Workspace consente la lettura dei file cifrati da SafeGuard Cloud Storage o SafeGuard Data Exchange, entrambi moduli di SafeGuard Enterprise, Sophos Secure Workspace include anche Browser aziendale: un browser web che consente di accedere in maniera sicura alle pagine dell'intranet aziendale e ad altre pagine autorizzate e definite in un apposito criterio di Sophos Mobile Control. 6 Guida in linea per amministratori Sophos Secure Email Sophos Secure Email è un'app per dispositivi Android e Apple iOS che fornisce un contenitore sicuro per la gestione di e-mail, calendario e contatti. Tutti i dati vengono cifrati e protetti dall'accesso da parte di personale non autorizzato. 7 Sophos Mobile Control 3 Console Web di Sophos Mobile Control La console Web rappresenta lo strumento principale per la gestione dei dispositivi tramite Sophos Mobile Control. Si tratta dell'interfaccia Web del server utilizzato per la gestione dei dispositivi. Il portale web consente di implementare un criterio aziendale per l'utilizzo dei dispositivi, e di applicarlo ai dispositivi registrati con Sophos Mobile Control. Con la console web di Sophos Mobile Control è possibile: ■ Configurare il sistema, per esempio le impostazioni personali o specifiche della piattaforma in uso. ■ Configurare regole di conformità e definire le azioni da intraprendere nel caso in cui i dispositivi non siano più conformi alle regole specificate. Consultare la sezione Regole di conformità a pagina 41. ■ Registrare i dispositivi con Sophos Mobile Control Consultare la sezione Aggiunta di dispositivi a Sophos Mobile Control a pagina 48. ■ Effettuare il provisioning dei nuovi dispositivi. Vedere la sezione Registrazione dei dispositivi tramite console Web di Sophos Mobile Control a pagina 150. ■ Installare i pacchetti delle applicazioni nei dispositivi registrati. Consultare la sezione Utilizzo delle app a pagina 132. ■ Definire profili e i criteri di protezione per i dispositivi. Consultare la sezione Utilizzo di profili e criteri a pagina 51. ■ Creare bundle delle operazioni per unire insieme le diverse operazioni da eseguire nei dispositivi mobili e trasferirle in un'unica transazione. Vedere la sezione Utilizzo dei bundle delle operazioni a pagina 129. ■ Configurare le impostazioni del portale self-service Vedere la sezione Configurazione del portale self-service a pagina 25. ■ Effettuare operazioni di amministrazione sui dispositivi, ad es. reimpostazione delle password dei dispositivi, blocco o formattazione dei dispositivi in caso di smarrimento o furto, oppure cancellazione della registrazione dei dispositivi. Vedere la sezione Gestione dei dispositivi a pagina 145. ■ Creare e visualizzare report. Vedere la sezione Report a pagina 14. 3.1 Interfaccia utente della console Web L'interfaccia utente di Sophos Mobile Control è suddivisa in: barra delle informazioni di sistema, menù della barra laterale e panello principale. Il pannello principale visualizza le varie pagine della console web, in base all'elemento del menù che è stato selezionato. ■ Barra delle informazioni di sistema Nella barra delle informazioni di sistema è possibile trovare: ■ 8 ■ Il nome utente dell'utente che ha effettuato l'accesso e il cliente. ■ Il pulsante Guida in linea, che apre la guida in linea in una diversa finestra del browser. ■ Il pulsante Chiudi sessione, che termina l'attuale sessione utente sulla console web. Menù della barra laterale Guida in linea per amministratori Il menù della barra laterale, situato sulla sinistra, consente di accedere a tutte le pagine della console web di Sophos Mobile Control. Nota: Le pagine disponibili sulla console web dipenderanno dal ruolo dell'utente che ha effettuato l'accesso. Per maggiori informazioni, consultare la sezione Ruoli utente della console Web a pagina 9. In un'installazione on-premise, i super administrator vedranno una vista speciale della console web, realizzata appositamente per il cliente super administrator. Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. Non è presente alcun ruolo super administrator in Sophos Mobile Control as a Service. 3.2 Prerequisiti I seguenti prerequisiti si riferiscono all'utilizzo della console Web di Sophos Mobile Control: ■ È necessario disporre di un computer collegato a Internet e provvisto di browser Web. Per informazioni sui browser supportati e le relative versioni, consultare le Note di rilascio di Sophos Mobile Control. ■ Nella console deve essere disponibile un cliente, o tenant, i cui dispositivi sono gestiti in Sophos Mobile Control. I clienti devono essere creati da un'amministratore con privilegi avanzati (super administrator). Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. Nota: per Sophos Mobile Control as a Service, il cliente viene predefinito. Gli amministratori con privilegi avanzati non sono supportati in Sophos Mobile Control as a Service. ■ È necessario disporre di un account utente per Sophos Mobile Control, oltre che dei privilegi necessari per l'accesso alla console Web. Le credenziali cliente consistono in nome utente e password. Per ulteriori informazioni, vedere la sezione Accesso alla console Web a pagina 10. 3.3 Ruoli utente della console Web Gli utenti della console Web possono disporre di diversi ruoli. È possibile assegnare tali ruoli al momento della creazione di nuovi amministratori nella console web. Vedere la sezione Creazione di amministratori a pagina 164. I moduli e le funzionalità disponibili nella console web dipenderanno dal ruolo. È possibile assegnare i seguenti ruoli: Ruolo Descrizione Amministratore Questo ruolo ha il diritto di eseguire tutte le azioni disponibili. Amministratore con diritti limitati Questo ruolo può effettuare tutte le azioni necessarie per la registrazione e la gestione di un dispositivo, ma non è in grado di specificare le impostazioni essenziali, né di gestire altri amministratori. Report Questo ruolo è in grado di visualizzare l’elenco dei dispositivi e di creare report. Si tratta solitamente di revisori o dipendenti che devono documentare le impostazioni in Sophos Mobile Control. 9 Sophos Mobile Control Ruolo Descrizione Amministratore dei contenuti I dipendenti che ricoprono questo ruolo sono responsabili degli aggiornamenti o della rimozione dei documenti distribuiti utilizzando la funzionalità Documenti. Questo ruolo è solitamente assegnato a dipendenti che non appartengono al dipartimento IT. Le autorizzazioni sono impostate in modo tale da limitare la visibilità e la possibilità di accesso ai soli contenuti del menù Documenti. Helpdesk Questo ruolo ha compiti di supporto. Dispone di diritti limitati (per es. installazione dei pacchetti software) e non ha accesso ad alcuna funzione critica, per esempio: definizione e creazione delle impostazioni, cancellazione o modifica di dispositivi o gruppi di dispositivi, pacchetti e profili. Amministratore dei gruppi di app Questo ruolo è in grado di gestire i gruppi di app Un esempio di utente tipico può essere un amministratore che accede all’interfaccia del servizio web Sophos Mobile Control per creare, aggiornare o leggere gruppi di app. Nel caso si richiedano ulteriori ruoli, contattare il team di supporto Sophos. 3.4 Accesso alla console Web 1. Aprire l’URL della console Web nel browser web. 2. Nella finestra di dialogo di accesso, inserire nome cliente e credenziali utente (nome e password), e successivamente cliccare su Accedi. Viene eseguito l'accesso alla console Web e visualizzato il Pannello di controllo del cliente per cui si è eseguito l'accesso. Nota: Quando si effettua l’accesso alla console Web per la prima volta, verrà visualizzata una richiesta di modifica della password. Nota: Nella finestra di dialogo di accesso, l'amministratore può far visualizzare messaggi relativi, ad esempio, a futuri upgrade o interruzioni del servizio. Cliccare sul messaggio per visualizzarne l'intero contenuto. 3.5 Disconnessione dalla console Web Per chiudere la sessione della console Web, cliccare su Chiudi sessione nella barra delle informazioni di sistema. 3.6 Cambio della password È possibile cambiare la password in qualsiasi momento dopo aver effettuato l'accesso al portale web: 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente cliccare sulla scheda Cambia password. 2. Inserire la password precedente, quindi quella nuova e confermarla. 10 Guida in linea per amministratori 3. Cliccare su Salva. 3.7 Ripristino della password Nel caso si sia dimenticata la password di accesso alla console Web, è possibile reimpostarla. 1. Nella finestra di dialogo di Accesso della console web, cliccare su Password dimenticata?. Viene visualizzata la finestra di dialogo Reimposta password. 2. Compilare le caselle Cliente e Utente e cliccare su Reimposta password. Si riceverà un'e-mail con un link che consentirà di reimpostare la password. 3. Cliccare sul link. Viene visualizzata la finestra di dialogo Cambia password. 4. Inserire la nuova password, confermarla e cliccare su Cambia password. La password viene così cambiata e viene effettuato l'accesso alla console Web. 11 Sophos Mobile Control 4 Passaggi chiave per la gestione dei dispositivi tramite console Web Sophos Mobile Control offre un'ampia gamma di funzioni di Mobile Device Management a seconda del tipo di dispositivo utilizzato, dei criteri di protezione aziendali e dei requisiti specifici della propria azienda. I passaggi chiave per la gestione di dispositivi tramite Sophos Mobile Control sono elencati qui di seguito: ■ Configurare le regole di conformità per i dispositivi. Consultare la sezione Regole di conformità a pagina 41. ■ Creare gruppi di dispositivi. Consultare la sezione Creazione di gruppi di dispositivi a pagina 154. I gruppi di dispositivi vengono utilizzati per categorizzare i dispositivi. Si consiglia di organizzare i dispositivi in gruppi. Ciò ne consentirà una gestione efficace, dal momento che sarà possibile effettuare operazioni sui gruppi piuttosto che ripeterle per ciascun singolo dispositivo. ■ Registrare ed effettuare il provisioning dei dispositivi. Consultare le sezioni Aggiunta di dispositivi a Sophos Mobile Control a pagina 48 e Registrazione dei dispositivi tramite console Web di Sophos Mobile Control a pagina 150. La registrazione e il provisioning dei dispositivi possono essere effettuate dagli amministratori mediante la console web, oppure mediante i dispositivi degli utenti finali dal portale self-service. È possibile configurare le impostazioni del portale self-service e gestirne gli utenti utilizzando la console Web. 12 ■ Impostare profili e impostazioni di protezione per i dispositivi. Vedere la sezione Utilizzo di profili e criteri a pagina 51. ■ Creare bundle delle operazioni per la configurazione del portale self-service. Vedere la sezione Utilizzo dei bundle delle operazioni a pagina 129. ■ Configurare l'utilizzo del portale self-service per gli utenti finali. Vedere la sezione Configurazione del portale self-service a pagina 25. ■ Applicare le impostazioni di sicurezza e i profili nuovi o aggiornati ai dispositivi registrati. Guida in linea per amministratori 5 Pannello di controllo Nota: Questa sezione è applicabile solamente al Pannello di controllo degli amministratori normali. Per il super administrator, il Pannello di controllo viene utilizzato per la gestione dei clienti. Consultare la Guida per super administrator di Sophos Mobile Control. Il Pannello di controllo personalizzabile corrisponde alla pagina di avvio di Sophos Mobile Control e fornisce accesso immediato alle informazioni più importanti. È formato da numerosi widget che forniscono le seguenti informazioni: ■ Dispositivi (tutti o per gruppo) ■ Stato di conformità per piattaforma o per tutti i dispositivi ■ Stato della gestione per piattaforma o per tutti i dispositivi ■ Stato della registrazione SSP ■ Versioni delle piattaforme in uso Vi è anche uno apposito widget Aggiungi dispositivo, che avvia la procedura guidata di registrazione dei dispositivi. Consultare la sezione Utilizzo della procedura guidata di registrazione del dispositivo per assegnare e registrare nuovi dispositivi a pagina 151. Quelle che seguono sono opzioni disponibili per la personalizzazione del Pannello di controllo: ■ Per aggiungere un widget alla pagina, cliccare su Aggiungi widget. ■ Per rimuovere un widget dalla pagina, cliccare sul pulsante Chiudi nella sua intestazione. ■ Per ripristinare la pagina al layout predefinito, cliccare su Ripristina il layout predefinito. ■ Per modificare la posizione dei widget nella pagina, trascinare il widget dalla sua intestazione. 13 Sophos Mobile Control 6 Report Con Sophos Mobile Control è possibile creare report di vario genere per i seguenti ambiti: ■ Dispositivi ■ App e documenti ■ Violazioni alla conformità ■ Malware Per creare un report: 1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Report, e successivamente sul nome del report desiderato. 2. Nella finestra di dialogo Selezionare formato, cliccare su una delle icone disponibili per selezionare il formato di output: ■ Cliccare su per esportare il report come file Microsoft Excel. ■ Cliccare su per esportare il report come file con valori delimitati da virgole (CSV). Il file del report verrà salvato sul computer locale utilizzando le impostazioni del browser web utilizzato. 14 Guida in linea per amministratori 7 Operazioni La pagina Vista operazioni fornisce una panoramica di tutte le operazioni create e avviate, visualizzandone lo stato attuale. È possibile monitorare tutte le operazioni ed intervenire nel caso si verifichino problemi. Si potrà, per esempio, cancellare quelle operazioni che non possono essere concluse, ma che bloccano il dispositivo. Per cancellare un'operazione, cliccare sull'icona Cancella di fianco all'operazione che si desidera modificare. È possibile filtrare le operazioni visualizzate in base a Tipo e Stato, oltre che ordinarle per nome del dispositivo, nome del pacchetto, autore e data pianificata. 7.1 Operazioni di monitoraggio Dalla console web di Sophos Mobile Control è possibile monitorare tutte le operazioni esistenti dei dispositivi. ■ La pagina Operazioni mostra tutte le operazioni non terminate e non riuscite, oltre che tutte le operazioni completate con successo negli ultimi giorni. La pagina Vista operazioni viene aggiornata automaticamente, per cui è possibile seguire l'evoluzione dello stato delle operazioni in esecuzione. ■ La pagina Dettagli operazione mostra informazioni generali relative a un'operazione, che sono visualizzabili direttamente dalle pagine Operazioni o Archiviazione operazioni. ■ La pagina Archiviazione operazioni mostra tutte le operazioni. 7.1.1 Vista delle operazioni non completate, non riuscite e appena concluse 1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Operazioni. 2. Nella pagina Vista operazioni, la colonna Stato mostrerà lo stato delle operazioni, ad esempio Non riuscito. 3. Nel campo Aggiorna intervallo (in sec.), è possibile selezionare la frequenza degli aggiornamenti della pagina Vista operazioni. 4. Per visionare ulteriori dettagli sull'operazione, cliccare sull'icona a forma di lente di ingrandimento Mostra, localizzata di fianco all'operazione specifica. Verrà visualizzata la pagina Dettagli operazione. Oltre a informazioni generali sull'operazione (per es. nome del dispositivo, nome del pacchetto e autore), mostra tutti gli stati rilevati per un'operazione specifica, comprensivi di data e ora, oltre a eventuali codici di errore. Se sono presenti comandi che devono essere eseguiti dal dispositivo, il pulsante aggiuntivo Dettagli nella pagina Dettagli operazione diventerà disponibile. 15 Sophos Mobile Control 5. Se selezionabile, cliccare su Dettagli per visualizzare i comandi che devono essere eseguiti dal dispositivo. I comandi inviati al dispositivo fanno parte dell'operazione Vengono eseguiti dall’app SMC o dal client di MDM. I risultati relativi alla riuscita o meno di un comando vengono trasferiti nuovamente al server. Nel caso di errore, il codice di errore è “0”. Se un comando non è riuscito, viene visualizzato un codice di errore. Nella maggior parte dei casi, il codice di errore viene accompagnato da una descrizione sulla causa della mancata riuscita del comando. 6. Per tornare alla pagina Dettagli operazione, cliccare su Indietro. 7. Per ritentare manualmente le operazioni non riuscite, cliccare su Esegui ora. Nota: Il pulsante Esegui ora è disponibile solo per le operazioni non riuscite. È possibile eseguire nuovamente le operazioni solo parzialmente non riuscite. 7.1.2 Vista archivio operazioni 1. Nella barra laterale dei menù, sotto INFORMAZIONI, cliccare su Operazioni. 2. Nella pagina Vista operazioni, cliccare su Archivio operazioni. Verrà visualizzata la pagina Archiviazione operazioni. Questa vista presenta le operazioni terminate o non riuscite. 3. Questa pagina consente di: ■ ■ ■ Cliccare su Ricarica per aggiornare la pagina Archiviazione operazioni. È possibile cancellare l'operazione dall'archivio, cliccando sull'icona Cancella, posizionata di fianco all'operazione stessa. Selezionare più operazioni e cliccare su Cancella selezione per cancellare le operazioni selezionate dall'archivio. Per tornare alla pagina Vista operazioni, cliccare su Operazioni nella barra laterale dei menù. 7.1.3 Stati delle operazioni La seguente tabella fornisce una panoramica sullo stato delle operazioni visualizzato nella Vista operazioni e nelle pagine Archiviazione operazioni. Ogni stato è associato a un colore specifico, che ne indica la categoria di stato. Indicatori di colore 16 Stato Descrizione Accettato L'operazione è stata creata. Verrà ritirato L'operazione verrà ritentata più tardi. Avviato L'operazione è stata avviata. In corso L'esecuzione dell'operazione è in fase di preparazione. Guida in linea per amministratori Indicatori di colore Stato Descrizione Bundle delle operazioni in corso L'esecuzione del bundle delle operazioni è in fase di preparazione. Notificato È stata inviata la notifica all’app SMC. Comandi inviati L’app SMC ha ricevuto il pacchetto e/o i comandi. Valutazione risultati avviata L’app SMC ha risposto e la valutazione del risultato è stata avviata. Risultati non completi La valutazione dei risultati mostra che al momento non sono stati ricevuti tutti i risultati dei comandi. In attesa di interazione con utente È presente un'azione utente in sospeso nel dispositivo. Il dispositivo è bloccato L'operazione attende che il dispositivo venga sbloccato (solo iOS). Riuscito Il pacchetto è stato installato, o i comandi sono stati eseguiti. Nota: Per il provisioning iniziale dell’app Sophos Mobile Control, l'operazione deve terminare riportando lo stato Installato. Installata L’installazione dell’app Sophos Mobile Control è stata completata. Il provisioning del dispositivo è stato completato. Valutazione risultati non riuscita Impossibile eseguire la valutazione dei risultati. Operazione parzialmente non Non sono stati eseguiti tutti i comandi dell'operazione. riuscita Ritardato L'operazione verrà riavviata più tardi. Non riuscito (nuovo tentativo L'operazione non è riuscita e verrà ritentata più tardi. in coda) Operazione non riuscita L'operazione non è riuscita e non è presente alcuna coda di ulteriori tentativi. Non riuscito L'operazione non è riuscita, e non è possibile ritentarla. Non avviato L'operazione appartiene a un bundle di operazioni e non è ancora stata elaborata. Sessione richiesta È stata richiesta una sessione di AirPlay (solo iOS). 17 Sophos Mobile Control Indicatori di colore Indicatori di colore Stato Descrizione Sconosciuto Il server non dispone di informazioni relative allo stato dell'operazione. Categoria Apri In corso Operazione completata Non riuscito Altro 18 Guida in linea per amministratori 8 Impostazioni generali È possibile configurare alcune impostazioni di base di Sophos Mobile Control direttamente dalla pagina Impostazioni generali. 8.1 Configurazione delle impostazioni personali Per utilizzare la console web di Sophos Mobile Control in maniera più efficace, è possibile personalizzare l'interfaccia utente in modo tale da visualizzare solo le piattaforme utilizzate. Nota: Configurando le piattaforme viene modificata solamente la vista degli utenti al momento collegati, da cui non è possibile disattivare alcuna funzione. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente cliccare sulla scheda Privato. 2. Configurare le seguenti impostazioni: Opzione Descrizione Lingua Selezionare la lingua in cui si desidera visualizzare la console web di Sophos Mobile Control. Fuso orario Selezionare il fuso orario in cui vengono indicate data e ora. Unità di lunghezza Selezionare se si desidera utilizzare un sistema Metriche o Imperiali per i valori di lunghezza. Righe per pagina nelle tabelle Selezionare il numero massimo di righe per tabella che si desidera visualizzare in ciascuna pagina della console web. Mostra dettagli dispositivo estesi Selezionare questa casella di spunta per visualizzare tutte le informazioni disponibili sul dispositivo. Le schede Proprietà personalizzate e Proprietà interne verranno aggiunte alla pagina Mostra dispositivo. Piattaforme attive Selezionare le piattaforme che si desidera gestire per questo cliente: Android iOS Windows Mobile (include i sistemi operativi Windows Phone 8.x e Windows 10 Mobile) Windows Desktop L'interfaccia utente della console web cambierà in base alle piattaforme selezionate. Verranno visualizzate solamente le viste e le funzionalità che riguardano le piattaforme selezionate. Nota: l'elenco delle piattaforme disponibili dipende dalle impostazioni relative alla piattaforma in esecuzione configurate dal super administrator. Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. 19 Sophos Mobile Control 3. Cliccare su Salva. 8.2 Configurazione dei criteri delle password Per implementare la protezione delle password, configurare criteri delle password specifici per gli utenti della console web e del portale self-service di Sophos Mobile Control. Nota: I criteri delle password non sono applicabili agli utenti provenienti da una directory LDAP esterna. Per informazioni sulla gestione esterna degli utenti, consultare la Guida per super administrator di Sophos Mobile Control. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente cliccare sulla scheda Criteri password. 2. Sotto Regole, è possibile definire requisiti per le password, come ad es. la quantità minima di caratteri maiuscoli, minuscoli o numerici che una password deve contenere per essere considerata valida. 3. Sotto Impostazioni, configurare le seguenti impostazioni: a) Intervallo di modifica password (giorni): Inserire il numero di giorni dopo il quale una password verrà ritenuta scaduta (tra 1 e 730), oppure lasciare il campo vuoto per disattivare la scadenza della password. b) Numero di password precedenti da non riutilizzare: Selezionare un valore compreso tra 1 e 10, oppure selezionare --- per disattivare questa restrizione. c) Numero massimo di tentativi di accesso non riusciti: Selezionare il numero di tentativi di accesso non riusciti dopo il quale l'account debba essere bloccato (cifra compresa tra 1 e 10), oppure selezionare --- per consentire una quantità illimitata di tentativi di accesso non riusciti. 4. Cliccare su Salva. 8.3 Configurazione delle impostazioni di SMC Nella scheda App SMC della pagina Impostazioni generali è possibile configurare le impostazioni dell’app Sophos Mobile Control su dispositivi Android, iOS e Windows Mobile. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente sulla scheda App SMC. 2. Configurare le seguenti impostazioni: Opzione Descrizione Disattiva l’annullamento della Rimuovere il pulsante Annulla registrazione dall’app Sophos registrazione tramite app Mobile Control, per impedire agli utenti di annullare la registrazione del proprio dispositivo utilizzando l’app. Nota: Per impedire completamente l’annullamento della registrazione da parte degli utenti, disattivare anche l’opzione Annulla registrazione del dispositivo nelle impostazioni del portale self-service. Vedere la sezione Configurazione delle impostazioni del portale self-service a pagina 26. 3. Cliccare su Salva. 20 Guida in linea per amministratori 8.4 Abilita servizio Push di Baidu Cloud Sophos Mobile Control utilizza il servizio Google Cloud Messaging (GCM) per inviare notifiche push ai dispositivi Android, e indurli a contattare il server di Sophos Mobile Control. In Cina è molto probabile che GCM non funzioni. Per cui Sophos Mobile Control può utilizzare anche il servizio Push di Baidu Cloud: un servizio cinese di notifiche push. Se si gestiscono dispositivi Android situati in Cina, procedere come segue per abilitare il servizio Push di Baidu Cloud: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente sulla scheda Android. 2. Nella sezione Servizio Push di Baidu Cloud, selezionare Abilita servizio Push di Baidu Cloud. 3. Cliccare su Salva. Quando il servizio Push di Baidu Cloud è abilitato, Sophos Mobile Control invierà tutte le notifiche push sia con GCM che con il push di Baidu Cloud. 8.5 Configurazione delle impostazioni per iOS Nella scheda iOS della pagina Impostazioni generali, è possibile configurare le impostazioni da applicare specificamente ai dispositivi iOS. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente cliccare sulla scheda iOS. 21 Sophos Mobile Control 2. Configurare le seguenti impostazioni: Opzione Descrizione Metodo di localizzazione Selezionare Forza utilizzo del metodo di localizzazione precedente per consentire ai dispositivi di comunicare la propria posizione a intervalli prestabiliti. Questo metodo veniva utilizzato nelle versioni precedenti di Sophos Mobile Control. Nella versione attuale, è possibile geolocalizzare i dispositivi e visualizzarne la posizione in qualsiasi momento, Nota: abilitando questa funzionalità si ridurrà la durata della batteria. Bypass del Blocco attivazione Selezionare Abilita per consentire la rimozione del Blocco attivazione nei dispositivi supervisionati. Quando viene selezionata questa opzione, Sophos Mobile Control recupera un codice di bypass durante la sincronizzazione con un dispositivo supervisionato nel quale è abilitato il Blocco attivazione. All’occorrenza è possibile svolgere l’azione Bypass del Blocco attivazione dalla pagina Mostra dispositivo del dispositivo, per rimuovere il Blocco attivazione quando il dispositivo deve essere formattato e nuovamente impostato. Il Blocco attivazione è una funzionalità di sicurezza di iOS che impedisce la riattivazione di dispositivi rubati o smarriti. Solitamente per rimuovere il Blocco attivazione occorre fornire i corretti ID Apple e password. Con la funzionalità Bypass del Blocco attivazione, il Blocco attivazione può essere rimosso fornendo solamente il codice di bypass. Sincronizza nome del dispositivo Selezionare Abilita per gestire i dispositivi iOS con il nome configurato nel dispositivo. Quando è selezionata questa opzione, il nome del dispositivo utilizzato da Sophos Mobile Control viene impostato ogni volta che il dispositivo si sincronizza con Sophos Mobile Control. Quando questa opzione è deselezionata, il nome del dispositivo viene impostato durante la registrazione del dispositivo. 3. Cliccare su Salva. 8.6 Configurazione dell’intervallo di polling per i dispositivi Windows Nei dispositivi Windows è possibile configurare l’intervallo di polling utilizzato dal client Windows di MDM per contattare il server di Sophos Mobile Control. Nella maggior parte dei casi, il server può anche contattare il client di MDM utilizzando le notifiche push di MDM. Tuttavia, Windows Phone 8.0 non è in grado di ricevere notifiche push, e si basa esclusivamente sul polling. 22 Guida in linea per amministratori Nota: Nella maggior parte dei casi sono sufficienti i valori predefiniti. L’uso di intervalli più brevi influisce sulla durata della batteria e sul consumo dei dati, a causa del maggior carico sul server. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente sulla scheda Windows. 2. Selezionare gli intervalli di polling per i vari sistemi operativi Windows. È possibile configurare impostazioni individuali per: ■ ■ ■ Dispositivi Windows Phone 8.0 Dispositivi Windows Phone 8.1 e Windows 10 Mobile Dispositivi Windows 10 Desktop 3. Cliccare su Salva. 8.7 Configurazione delle E-mail La scheda Configurazione e-mail consente di configurare le impostazioni relative alle e-mail che vengono inviate agli utenti da Sophos Mobile Control. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente sulla scheda Configurazione e-mail. 2. Nel campo Lingua, selezionare la lingua dei messaggi e-mail. 3. Nel campo Nome creatore, inserire il nome che comparirà come nome del creatore del messaggio. 4. Cliccare su Salva. 8.8 Configurazione dei dati di contatto del supporto tecnico Per fornire supporto agli utenti che avessero domande o problemi, potete fornire i dettagli di come contattare il supporto tecnico. Le informazioni qui inserite verranno visualizzate nell'app Sophos Mobile Control e nel portale self-service. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente cliccare sulla scheda Contatto tecnico. 2. Inserire le informazioni relative al supporto tecnico. 3. Cliccare su Salva. 8.9 Definizione delle proprietà del cliente È possibile definire proprietà a livello del cliente. Definendo una proprietà avente nome proprietà 1, sarà possibile fare riferimento al valore della proprietà nei profili e nei criteri utilizzando il segnaposto %_CUSTPROP(proprietà 1)_%. Questa opzione può essere utilizzata ad esempio per fare riferimento a un dominio specifico per il cliente. Per informazioni dettagliate sui segnaposti di profili e criteri, vedere Segnaposti all’interno di profili e criteri a pagina 125. 23 Sophos Mobile Control Per definire una proprietà del cliente: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale, e successivamente sulla scheda Proprietà cliente. 2. Cliccare su Aggiungi proprietà del cliente. 3. Inserire un Nome e Valore per la nuova proprietà. 4. Cliccare su Applica per aggiungere la proprietà. 5. Cliccare su Salva per salvare le modifiche apportate alle impostazioni del cliente. 24 Guida in linea per amministratori 9 Configurazione del portale self-service Il portale self-service aiuta a ridurre il carico di lavoro del personale IT, in quanto consente agli utenti finali di registrare i propri dispositivi ed effettuare altre operazioni in maniera indipendente, senza dover ricorrere all'intervento dell'helpdesk. Per ulteriori informazioni sul portale self-service e su come utilizzarlo, consultare le Guida in linea per utenti di Sophos Mobile Control. Nella barra laterale del menù è possibile configurare le impostazioni per l’uso del portale self-service, come ad esempio: ■ Le piattaforme per le quali è possibile effettuare la registrazione dei dispositivi. ■ Le funzioni disponibili. ■ Gli utenti che sono autorizzati ad accedere al portale self-service. 9.1 Creazione di gruppi del portale self-service con gestione utenti interni Le configurazioni del portale self-service vengono applicate a gruppi di utenti del portale self-service. Grazie alla gestione utenti interni, è possibile creare gruppi del portale self-service e assegnarvi utenti. Per ulteriori informazioni sulla gestione degli utenti, consultare la sezione Gestione degli utenti del portale self-service a pagina 30. Nota: la gestione utenti interni è disponibile per clienti solo se attivata dall'amministratore con privilegi avanzati (super administrator). Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. Ciò non è applicabile a Sophos Mobile Control as a Service. Gli amministratori con privilegi avanzati (super administrator) non sono supportati in Sophos Mobile Control as a Service. Per ulteriori informazioni su come definire i metodi di gestione degli utenti per Sophos Mobile Control as a Service, consultare la sezione Configurazione della gestione degli utenti del portale self-service a pagina 31. Per creare gruppi del portale self-service: 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Utenti. Verrà visualizzata la pagina Mostra utenti. 2. Cliccare su Mostra gruppi utenti Verrà visualizzata la pagina Mostra gruppi utenti. 3. Cliccare su Crea gruppo. Verrà visualizzata la pagina Modifica gruppo. 4. Nel campo Nome, inserire un nome per il nuovo gruppo utenti del portale self-service. 5. Cliccare su Salva. Il nuovo gruppo utenti del portale self-service verrà visualizzato nella pagina Mostra gruppi utenti. Quando vengono creati nuovi utenti, questi potranno essere assegnati al gruppo. Quando vengono create impostazioni per il portale self-service, è possibile selezionare il gruppo a cui assegnare tali impostazioni. 25 Sophos Mobile Control 9.2 Configurazione delle impostazioni del portale self-service 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione e successivamente su Portale self-service. Viene visualizzata la pagina del Portale self-service. 2. Nella scheda Configurazione, configurare le seguenti impostazioni: a) Nel campo Numero massimo di dispositivi, indicare il numero massimo di dispositivi che un utente può registrare nel portale self-service. Definendo qui un valore massimo, si eviterà di superare i limiti imposti dalle licenze a disposizione. b) Nel campo Preselezione del proprietario del dispositivo, selezionare se si desidera che i nuovi dispositivi vengano classificati come dispositivi aziendali o personali, e se gli utenti siano o meno in grado di modificare questa classificazione al momento della registrazione dei propri dispositivi nel portale self-service. È possibile selezionare una delle seguenti impostazioni: ■ nessuna preselezione: Il campo del proprietario nel portale self-service viene lasciato vuoto. Gli utenti possono selezionare il tipo di dispositivo. ■ aziendale preselezionato: Nel portale self-service è preselezionata l’opzione Dispositivo aziendale. Gli utenti possono modificare questa impostazione e portarla a Dispositivo personale. ■ aziendale fisso: Il tipo di dispositivo non può essere selezionato. Azienda viene elencata come proprietario. ■ personale preselezionato: Nel portale self-service è preselezionata l’opzione Dispositivo personale. Gli utenti possono modificare questa impostazione e portarla a Dispositivo aziendale. ■ personale fisso: Il tipo di dispositivo non può essere selezionato. Dipendente viene elencato come proprietario. c) Sotto Funzionalità disponibili selezionare le funzionalità che devono essere disponibili per gli utenti del portale self-service. Le funzioni supportate variano a seconda della piattaforma del dispositivo. Vedere Impostazioni disponibili per il portale self-service a pagina 28. 3. Nella scheda Termini di utilizzo, è possibile configurare il criterio per i dispositivi mobili, la declinazione di responsabilità o il testo di contratto da visualizzare come primo passaggio quando gli utenti finali effettuano la registrazione dei propri dispositivi. Gli utenti dovranno accettare il testo prima di poter continuare. Il testo prodotto supporta i tag di formattazione HTML e verrà visualizzato nei relativi browser. 4. Nella scheda Testo di post-installazione, è possibile configurare il testo da visualizzare nel portale self-service al termine dell'installazione automatica. Il testo può comunicare all'utente il prossimo passo da compiere, ad esempio configurare il server nell'app iOS, oppure configurare il client di posta Android. Il testo prodotto supporta i tag di formattazione HTML e verrà visualizzato nel browser selezionato. 5. Nella scheda Impostazioni del gruppo è possibile configurare le impostazioni del gruppo, ad esempio i gruppi di dispositivi a cui verranno aggiunti i dispositivi registrati, e il bundle delle operazioni che verrà distribuito sui dispositivi. 26 Guida in linea per amministratori Se si utilizza la gestione degli utenti esterni è possibile assegnare telefoni a gruppi e profili in base all'appartenenza a gruppi. Nota: la gestione degli utenti esterni deve essere configurata nella gestione dei clienti. Per informazioni su questi passaggi, consultare la Guida per super administrator di Sophos Mobile Control. Ciò non è applicabile a Sophos Mobile Control as a Service. Per ulteriori informazioni su come definire i metodi di gestione degli utenti per Sophos Mobile Control as a Service, consultare la sezione Configurazione della gestione degli utenti del portale self-service a pagina 31. Importante: Data la complessità della configurazione delle impostazioni dei gruppi, si consiglia di effettuare prove di registrazione dei dispositivi per vari gruppi LDAP diversi, prima di utilizzare le impostazioni con utenti reali. a) Cliccare su Aggiungi. Viene visualizzata la pagina Modifica delle impostazioni di gruppo. b) Inserire un Nome per il gruppo di configurazione del portale self-service. c) Nel campo Gruppo di directory, inserire il gruppo del portale self-service definito nelle gestione degli utenti interni, oppure il gruppo di gestione degli utenti esterni comprensivo del percorso completo LDAP o di caratteri jolly. È possibile utilizzare un asterisco (*) come primo, ultimo o unico simbolo per indicare più gruppi. Per esempio: Inserire Dev* per indicare tutti i nomi dei gruppi che iniziano con la stringa "Dev". Inserire * per indicare tutti i gruppi disponibili. d) Selezionare se i testi configurati nelle schede Termini di utilizzo e Testo di post-installazione debbano essere visualizzati. e) Nelle colonne Pacchetto iniziale - dispositivo aziendale e Pacchetto iniziale dispositivo personale, selezionare il bundle delle operazioni (per Android e iOS) o il criterio (per Windows Mobile e Windows Desktop) da eseguire nei dispositivi aziendali e personali. f) Nella colonna Attivo, selezionare le piattaforme che devono essere disponibili nel portale self-service. Occorre selezionare un pacchetto iniziale prima di poter selezionare una piattaforma. g) Nella colonna Aggiungi al gruppo di dispositivi, indicare il gruppo a cui si desidera aggiungere il dispositivo. Nota: Nella barra laterale dei menù, è disponibile un gruppo di dispositivi Predefinito. Se non sono stati ancora definiti gruppi di dispositivi personalizzati, sarà possibile aggiungere i dispositivi a questo gruppo. Per maggiori informazioni, consultare la sezione Gruppi di dispositivi a pagina 154. h) Cliccare su Applica. 6. Viene visualizzata la pagina del Portale self-service. Cliccare su Salva. Nota: In qualità di amministratore con privilegi avanzati (super administrator), è inoltre possibile definire un cliente predefinito per l'accesso degli utenti finali al portale self-service. Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. Ricordare che ciò non è applicabile a Sophos Mobile Control as a Service. Gli amministratori con privilegi avanzati (super administrator) non sono supportati in Sophos Mobile Control as a Service. 27 Sophos Mobile Control 9.3 Impostazioni disponibili per il portale self-service La seguente tabella indica le funzioni del portale self-service che è possibile abilitare o disattivare (come descritto nella sezione Configurazione delle impostazioni del portale self-service a pagina 26) e le piattaforme dei dispositivi che supportano una funzione. Impostazione Descrizione Individua dispositivo Grazie a questa funzione gli utenti potranno individuare la posizione dei dispositivi, nel caso di smarrimento o furto. Blocca dispositivo Grazie a questa funzione gli utenti potranno bloccare i dispositivi, nel caso di smarrimento o furto. Questa funzione non è supportata per i dispositivi Windows Phone 8.0. 28 Riconfigura dispositivo Grazie a questa funzione gli utenti potranno riconfigurare i dispositivi, nel caso in cui Sophos Mobile Control sia stato rimosso dal dispositivo, ma tale dispositivo risulta ancora registrato. Mostra violazioni della conformità Con questa funzione gli utenti possono visualizzare le violazioni della conformità dei propri dispositivi. Aggiorna dati Grazie a questa funzione gli utenti potranno sincronizzare manualmente i dispositivi con il Sophos Mobile Control Server. Si tratta di una funzione utile se, per esempio, il dispositivo è rimasto spento per un lungo periodo di tempo e quindi non ha effettuato la sincronizzazione con il server. In questo caso, il dispositivo potrebbe risultare non conforme (a seconda dei criteri di conformità configurati) e dover quindi essere sincronizzato col server per poter tornare conforme. Android iOS Windows Mobile Windows Desktop Guida in linea per amministratori Impostazione Descrizione Android iOS Windows Mobile Windows Desktop Reimposta password Grazie a questa funzione gli utenti possono reimpostare la password per lo sblocco dello schermo. Per i dispositivi Android e iOS verrà visualizzata una password provvisoria nel portale self-service. Il dispositivo può essere sbloccato solamente inserendo questa password. Dopo aver sbloccato il proprio dispositivo, l'utente può inserire una nuova password. Per i dispositivi iOS la password viene completamente cancellata. L'utente deve quindi impostare una nuova password entro 60 minuti. Questa funzione non è supportata per i dispositivi Windows Phone 8.0. Cancella dispositivo Con questa funzione gli utenti possono ripristinare i dispositivi registrati alle impostazioni predefinite, in caso di smarrimento o furto. Tutti i dati presenti nel dispositivo vengono cancellati. Annulla registrazione Grazie a questa funzione gli del dispositivo utenti potranno disattivare i dispositivi che non verranno più utilizzati. Questa funzione è utile se, ad esempio, il numero dei dispositivi che un utente può registrare utilizzando il portale self-service è limitato, oppure se gli utenti hanno dispositivi nuovi. Cancella dispositivo Grazie a questa funzione gli non gestito utenti possono cancellare i dispositivi disattivati. Reimposta la password di App Protection Questa funzione consente agli utenti di reimpostare la password di App Protection sui dispositivi Android. La password della app consente di proteggere le app definite 29 Sophos Mobile Control Impostazione Descrizione Android iOS Windows Mobile Windows Desktop e deve essere inserita ogni qual volta l'utente desideri attivare tali app. La password verrà cancellata e gli utenti ne dovranno impostare una nuova. Reimposta password Questa funzione consente dell'app contenitore agli utenti di reimpostare la Sophos password dell'app contenitore Sophos. La password dell'app contenitore Sophos deve essere inserita ogni volta che gli utenti desiderino avviare una delle app contenitore. La password verrà cancellata e gli utenti ne dovranno impostare una nuova. Riconfigura app SMC Grazie a questa funzione gli utenti possono riconfigurare una app Sophos Mobile Control già installata. 9.4 Gestione degli utenti del portale self-service Sophos Mobile Control mette a disposizione diversi metodi per la gestione degli utenti del portale self-service: ■ Gestione utenti interni Con la gestione degli utenti interni è possibile creare utenti aggiungendoli manualmente alla console web, oppure importandoli da un file con valori delimitati da virgole (CSV). ■ Gestione utenti esterni Con la gestione degli utenti esterni è possibile assegnare dispositivi a gruppi e profili appartentnti a directory esterne. Il metodo di gestione degli utenti si basa sul cliente. Per le installazioni on-premise di Sophos Mobile Control, viene definito dal super administrator in fase di creazione di un cliente. Nel caso di Sophos Mobile Control as a Service, occorre definirlo prima di aggiungere gli utenti. Vedere Configurazione della gestione degli utenti del portale self-service a pagina 31. 30 Guida in linea per amministratori 9.4.1 Configurazione della gestione degli utenti del portale self-service Nota: Per le installazioni on-premise di Sophos Mobile Control, la gestione degli utenti per il portale self-service viene configurata dal super administrator durante la creazione di un cliente. Consultare la Guida per super administrator di Sophos Mobile Control. 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione e successivamente su Impostazione del sistema. Verrà visualizzata la pagina Installazione del sistema. 2. Andare alla scheda Impostazione utente. In questa scheda, selezionare la fonte dei dati per gli utenti del portale self-(PSS) gestiti da Sophos Mobile Control. ■ ■ ■ Nessuna. Non è disponibile alcun profilo SSP specifico per l'utente, né alcun amministratore di LDAP. Selezionare Directory interna per utilizzare la gestione degli utenti interna per gli utenti del portale self-service di Sophos Mobile Control. Selezionare Directory LDAP esterna per applicare la gestione degli utenti esterna agli utenti del portale self-service di Sophos Mobile Control. Cliccare su Configura LDAP esterno per specificare i dettagli del server. Vedere Configurazione della connessione a una directory esterna a pagina 31. 3. Cliccare su Salva. Se si è selezionata Directory interna o Directory LDAP esterna, l’opzione selezionata e l'opzione Nessuno. Non è disponibile alcun profilo SSP specifico per l'utente, né alcun amministratore di LDAP. vengono visualizzate nella scheda Impostazione utente. Se in seguito si desidera apportare cambiamenti alle opzioni selezionate, scegliere Nessuno. Non è disponibile alcun profilo SSP specifico per l'utente, né alcun amministratore di LDAP per rendere disponibili tutte le opzioni. Nota: la configurazione della gestione utente non può essere modificata fermo restando che i dispositivi siano collegati alla directory. Se si tenta di modificare la configurazione quando i dispositivi sono ancora collegati, viene visualizzato un messaggio di errore. 9.4.1.1 Configurazione della connessione a una directory esterna Quando si configura una directory LDAP esterna per la gestione degli account degli utenti per la console web e il portale self-service, occorre configurare la connessione della directory in modo che Sophos Mobile Control possa recuperare i dati degli utenti dal server LDAP. Per le installazioni on-premise di Sophos Mobile Control, tale configurazione viene effettuata dal super administrator in fase di creazione del cliente. 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema, e successivamente cliccare sulla scheda Impostazione utente. 2. Selezionare Directory LDAP esterna. 3. Cliccare su Configura LDAP esterno per specificare i dettagli del server. 4. Nella pagina Dettagli server, configurare le seguenti impostazioni: a) Selezionare il Tipo LDAP. Sophos Mobile Control supporta: ■ Active Directory ■ IBM Domino ■ NetIQ eDirectory 31 Sophos Mobile Control ■ Red Hat Directory Server ■ Zimbra b) Nel campo URL principale, inserire l'URL del server di directory principale. È possibile inserire l'IP o il nome del server. Selezionare SSL per utilizzare SSL come connessione server. L’opzione SSL non può essere deselezionata per Sophos Mobile Control as a Service. c) Nel campo URL secondario, inserire opzionalmente l’URL di un server di directory da adoperare come fallback nell'eventualità in cui il server primario sia impossibile da raggiungere. È possibile inserire l'IP o il nome del server. Selezionare SSL per utilizzare SSL come connessione server. L’opzione SSL non può essere deselezionata per Sophos Mobile Control as a Service. d) Nel campo Utente, inserire un account per le operazioni di ricerca nel server di directory. Sophos Mobile Control adopera le credenziali dell’account quando effettua la connessione al server di directory. Per Active Directory, occorre anche inserire il dominio pertinente. I formati supportati sono: ■ <Dominio>\<nome utente> ■ <Nome utente>@<dominio>.<codice dominio> Nota: Per motivi di sicurezza, si consiglia di specificare per il server di directory un utente che abbia diritti di sola lettura e non di scrittura. e) Nel campo Password, inserire la password relativa all'utente specificato. Cliccare su Avanti. 5. Nella pagina Base di ricerca, inserire il nome distinto (ND) dell’oggetto della base di ricerca. L’oggetto della base di ricerca definisce il percorso nella directory esterna dal quale comincia la ricerca di un utente o gruppo di utenti. 6. Nella pagina Campi di ricerca, definire quali campi della directory debbano essere utilizzati per la risoluzione dei segnaposto %_USERNAME_% ed %_EMAILADDRESS_% nei profili e nei criteri. Digitare i nomi dei campi richiesti, oppure effettuarne la selezione dagli elenchi Nome utente ed E-mail. Nota: Le caselle di riepilogo contengono solamente i campi configurati per l’utente attualmente connesso alla directory LDAP, che è stato specificato nel passaggio 7.d indicato qui sopra. Se ad esempio un campo e-mail non dovesse essere stato configurato per l’utente in questione, occorrerà inserire manualmente il valore richiesto nel campo E-mail. Nel caso di Active Directory sono applicabili le seguenti associazioni campi: 32 ■ Nome utente: sAMAccountName ■ Nome: givenName ■ Cognome: sn ■ E-mail: mail Guida in linea per amministratori 7. Nella pagina Configurazione SSP, specificare gli utenti a cui è consentito accedere al portale self-service. Inserire le informazioni pertinenti nel campo Gruppo SSP, adoperando una delle seguenti opzioni: ■ ■ ■ Se si inserisce un asterisco *, si concederà l’accesso al portale self-service a tutti gli utenti di directory autenticati. Se si inserisce il nome di un gruppo che è definito nel server di directory, si concederà l’accesso al portale self-service a tutti i membri del gruppo in questione. Una volta inserito il nome del gruppo, cliccare su Risolvi gruppo per risolvere il nome del gruppo a un nome distinto (ND). Se il campo viene lasciato vuoto, nessun utente del server di directory potrà accedere al portale self-service. Utilizzare questa opzione se si desidera abilitare la gestione degli utenti esterni per la console web ma non per il portale self-service. Nota: Il gruppo che viene specificato in questo campo non ha nessuna correlazione con il gruppo di directory che viene definito nella scheda Impostazioni del gruppo della pagina Portale self-service. Queste altre impostazioni servono per definire i bundle delle operazioni, l’appartenenza al gruppo Sophos Mobile Control e le piattaforme per dispositivi mobili che sono disponibili per ciascun gruppo di directory. 8. Cliccare su Applica. 9. Nella scheda Impostazione utente, cliccare su Salva. 9.4.2 Creazione di utenti del portale self-service con gestione utenti interni Prerequisito: la gestione degli utenti interni deve essere abilitata per il cliente a cui si è eseguito l'acceso. Per le installazioni in sede l'abilitazione viene effettuata nella gestione dei clienti dall'amministratore con privilegi avanzati (super administrator). Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. Ciò non è applicabile a Sophos Mobile Control as a Service. Gli amministratori con privilegi avanzati (super administrator) non sono supportati in Sophos Mobile Control as a Service. Per ulteriori informazioni su come definire i metodi di gestione degli utenti per Sophos Mobile Control as a Service, consultare la sezione Configurazione della gestione degli utenti del portale self-service a pagina 31. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Utenti. Verrà visualizzata la pagina Mostra utenti. 2. Cliccare su Crea utente Verrà visualizzata la pagina Modifica utente. 3. Selezionare la casella di spunta Invia e-mail di benvenuto. 4. Inserire le seguenti informazioni: a) Nome utente b) Nome c) Cognome d) Indirizzo e-mail e) Gruppi (opzionale) Per visualizzare tutti i gruppi di utenti disponibili cliccare su Mostra e quindi selezionarne uno. 33 Sophos Mobile Control 5. Cliccare su Salva. Il nuovo utente del portale self-service verrà visualizzato nella pagina Mostra utenti. Viene inviata un'e-mail di benvenuto al nuovo utente. Se si clicca sul triangolo blu di fianco all'utente desiderato, se ne possono visionare i dettagli (Mostra), è quindi possibile scegliere fra le opzioni Modifica o Cancella. Nota: Cliccando sul nome dell'utente, verrà visualizzata la vista Mostra utente. Questa pagina contiene il pulsante Invia di nuovo e-mail di benvenuto, che può essere utilizzato per inviare nuovamente il messaggio, nel caso in cui l'utente non abbia ricevuto o non riesca a trovare l'e-mail iniziale. 9.4.3 Importazione di utenti del portale self-service con gestione utenti interni Prerequisito: la gestione degli utenti interni deve essere abilitata per il cliente a cui si è eseguito l'acceso. ■ Per le installazioni on-premise di Sophos Mobile Control, consultare la Guida per super administrator di Sophos Mobile Control. ■ Per Sophos Mobile Control as a Service, vedere la sezione Configurazione della gestione degli utenti del portale self-service a pagina 31. Con la gestione utenti interni è possibile aggiungere nuovi utenti del portale self-service importando un file con valori delimitati da virgole (CSV) e con codifica UTF-8 che può includere sino a un massimo di 500 utenti. Nota: Utilizzare l'editor di testo per apportare modifiche al file CSV. Se si utilizza Microsoft Excel, i valori inseriti potrebbero non essere risolti in modo corretto. Verificare che il file venga salvato con l’estensione .csv. Suggerimento: Un file di esempio, in cui vengono riportati i nomi e l'ordine corretto delle colonne, è scaricabile dalla pagina Importa utenti. Per importare gli utenti da un file CSV: 1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Utenti, e successivamente su Importa utenti. 2. Nella pagina Importa utenti, selezionare Invia e-mail di benvenuto. 3. Cliccare su Carica file e navigare sul file CSV preparato in precedenza. Le voci verranno lette dal file e visualizzate. 4. Se i dati non vengono impostati nel giusto formato, o se sono inconsistenti, non sarà possibile importare l'intero file. In tale eventualità, esaminare i messaggi di errore visualizzati accanto alle relative voci, correggere il contenuto del file CSV a seconda di quanto richiesto e caricarlo nuovamente. 5. Cliccare su Fine per creare gli account utente. Gli utenti verranno importati e visualizzati nella pagina Mostra utenti. Riceveranno le e-mail con le credenziali di accesso per il portale self-service. 34 Guida in linea per amministratori 10 Impostazione del sistema 10.1 Verifica delle licenze Sophos Mobile Control utilizza un sistema di licenze basato sul numero di utenti. Una sola licenza è valida per tutti i dispositivi assegnati a un utente. I dispositivi non assegnati ad alcun utente richiedono invece una licenza ciascuno. Per verificare le licenze disponibili: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema. 2. Nella pagina Impostazione del sistema, cliccare sulla scheda Licenze. Verranno visualizzate le seguenti informazioni: ■ Numero massimo di licenze: Il numero massimo di utenti finali (e dispositivi non assegnati) che può essere gestito dalla console web. Se il super administrator non ha precedentemente impostato una quota per il cliente, il numero delle licenze sarà limitato dal numero complessivo del server di Sophos Mobile Control. ■ Licenze utilizzate: Numero di licenze in uso. ■ Valida entro: La data di scadenza della licenza. Nel caso di domande o dubbi sulle informazioni relative alla licenza che sono visualizzate, contattare il proprio rappresentante commerciale Sophos. Nota: Per segnalare l’avvicinarsi della data di scadenza della licenza, Sophos Mobile Control invia diversi promemoria e-mail a tutti gli amministratori a partire da 30 giorni prima della data di scadenza. 10.2 Caricamento del keystore di Apple Push Notification Sophos Mobile Control utilizza il servizio Apple Push Notification (APNs) per inviare notifiche push ai dispositivi iOS, e fare in modo che contattino il server di Sophos Mobile Control. Per abilitare il servizio Apple Push Notification, è necessario caricare il keystore di Apple Push Notification nella console Web. Per informazioni su come ottenere il certificato APNs per Sophos Mobile Control, consultare la Guida di avvio di Sophos Mobile Control o la Guida di avvio di Sophos Mobile Control as a Service. Per informazioni su come rinnovare i certificati APNs, consultare l'articolo della knowledge base http://www.sophos.com/it-it/support/knowledgebase/118926.aspx. Prerequisito: è necessario disporre del certificato APN per Sophos Mobile Control. 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Installazione, e successivamente su Installazione del sistema; passare quindi alla scheda APNS iOS. 35 Sophos Mobile Control 2. Cliccare Carica file. Navigare sul file del certificato P12 appena creato e inserire la password. In alternativa è possibile inserire l'ID Apple come riferimento futuro. Una volta caricato il file, viene visualizzato un messaggio di conferma e le informazioni su Argomento, Tipo e Data di scadenza del certificato APNS. 3. Cliccare su Salva. 4. Quando si effettua l’accesso come super administrator, verrà visualizzata un’ulteriore finestra di dialogo che elenca tutti i clienti che utilizzano lo stesso certificato APNs del cliente super administrator, ovvero un certificato con lo stesso attributo Argomento. ■ ■ Cliccare su Salva per tutti i clienti interessati per rinnovare il certificato APNs per tutti questi clienti. Cliccare su Salva solo per il cliente super administrator per rinnovare il certificato APNs solo per il cliente super administrator. 10.3 Configurazione delle destinazioni iOS AirPlay Con Sophos Mobile Control è possibile attivare in remoto il mirroring di AirPlay fra un dispositivo iOS e destinazioni di AirPlay predefinite (per es. AppleTV). Nota: AirPlay è funzionante solo nei dispositivi appartenenti alla stessa rete. Nella console Web è possibile definire destinazioni per il mirroring di AirPlay. 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Installazione, e successivamente su Installazione del sistema; passare quindi alla scheda iOS AirPlay. 2. Nella sezione Destinazioni AirPlay, cliccare su Crea destinazione AirPlay. Verrà visualizzata la pagina Destinazione AirPlay. 3. Inserire il Nome dispositivo (obbligatorio) ed l'Indirizzo MAC (opzionale). Se necessario, inserire la Password relativa al dispositivo della destinazione di AirPlay. 4. Cliccare su Applica. Il dispositivo verrà visualizzato sotto Destinazioni AirPlay, nella scheda iOS AirPlay della pagina Installazione del sistema. 5. Cliccare su Salva. È possibile attivare il mirroring di AirPlay tra un dispositivo iOS e questa destinazione cliccando su Richiedi AirPlay Mirroring dal menù Azioni, nella pagina Mostra dispositivo del dispositivo in questione. 10.4 Licenza Samsung KNOX Per poter gestire i dispositivi KNOX con Sophos Mobile Control quando l'azienda dispone di una licenza Samsung KNOX in corso di validità, occorre inserire la chiave di licenza, il numero di licenze a disposizione e la data di scadenza nella scheda Licenza Samsung KNOX. 10.5 Configurazione di SCEP È possibile configurare il Simple Certificate Enrollment Protocol (SCEP), in modo tale da produrre certificati. Ciò consente ai dispositivi di ottenere certificati direttamente dall'Autorità di certificazione utilizzando il protocollo SCEP. 36 Guida in linea per amministratori Si potranno configurare, direttamente dalla console Web, tutte le impostazioni necessarie per accedere al server dell'Autorità di certificazione tramite protocollo SCEP. È possibile definire le impostazioni richieste per i dispositivi in un Profilo del dispositivo SCEP per Android e iOS, oppure un criterio per Windows Mobile. Nota: L'utilizzo di SCEP per la produzione di certificati non è possibile per i dispositivi con sistema operativo Windows Phone 8. 10.5.1 Prerequisiti Per poter utilizzare il Simple Certificate Enrollment Protocol, è necessario disporre di questi prerequisiti: ■ Una CA di Windows, abilitata per SCEP, presente nell'ambiente. ■ Credenziali di accesso per utenti autorizzati a creare codici challenge disponibili. ■ Il server di Sophos Mobile Control dispone di accesso http o https ai seguenti siti: ■ https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN ■ https://YOUR-SCEP-SERVER/CertSrv/MSCEP 10.5.2 Configurazione di SCEP 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Installazione, e successivamente su Installazione del sistema; passare quindi alla scheda SCEP. 2. Specificare le seguenti informazioni: a) Nel campo URL server SCEP, inserire https://YOUR-SCEP-SERVER/CertSrv/MSCEP. b) Nel campo URL Challenge, inserire https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN. Nota: Se si utilizza un server Windows 2003 come server SCEP, inserire https://SERVER-SCEP-UTILIZZATO/CertSrv/MSCEP. c) Nei campi Utente e Password, inserire le credenziali dell'utente e l'utente che può creare codice challenge. Nota: nel campo Utente, inserire un utente che dispone delle autorizzazioni necessarie per registrare certificati. Utilizzare il formato di accesso: nomeutente@dominio d) Nel campo Lunghezza challenge, accettare la lunghezza predefinita. e) Facoltativamente, è anche possibile deselezionare l’opzione Usa proxy , se si desidera che Sophos Mobile Control bypassi il proxy HTTP durante la connessione al server SCEP. Per l’installazione on-premise, il super administrator può configurare un proxy HTTP che Sophos Mobile Control potrà utilizzare per le connessioni HTTP e SSL in uscita. Consultare la Guida per super administrator di Sophos Mobile Control. 3. Cliccare su Salva. Sophos Mobile Control testa la connessione al server SCEP. Per distribuire un profilo utilizzando SCEP, occorre creare un profilo del dispositivo SCEP. 37 Sophos Mobile Control 10.5.2.1 Creazione di un profilo del dispositivo SCEP per iOS Per informazioni generali su come creare un profilo per dispositivi iOS, consultare la sezione Creazione di profili e criteri per iOS a pagina 77. 1. Creare un nuovo Profilo del dispositivo iOS, e inserire le informazioni generali a seconda delle esigenze. 2. Cliccare su Aggiungi configurazione. Verrà visualizzata la pagina Configurazioni disponibili. 3. Dall'elenco delle configurazioni disponibili, selezionare SCEP. Verrà visualizzata la pagina SCEP. 4. Nel campo URL, accettare la lunghezza predefinita, che dovrebbe essere %_SCEPPROXYURL_%. 5. Nel campo Nome CA, inserire il nome dell'Autorità di certificazione. 6. Nel campo Oggetto, si potrebbe inserire il nome della persona che riceverà il certificato. Inserire la dicitura "CN=" prima del nome/valore. È possibile utilizzare le variabili LDAP disponibili, per esempio "CN=%_DEVPROP(UDID)_%". 7. Se si desidera configurare un Nome alternativo del soggetto (Subject Alternative Name, SAN) da associare al certificato, selezionarne il tipo nel campo Tipo di nome alternativo del soggetto. 8. Se è stato selezionato un tipo di nome alternativo del soggetto, inserirne il valore nel campo Valore del nome alternativo del soggetto. 9. Non apportare modifiche al campo Challenge. 10. Verificare che il valore definito nel campo Dimensioni chiave corrisponda alle dimensioni configurate nel server SCEP. 11. Configurare i restanti campi in base alle proprie esigenze e cliccare su Applica. Viene visualizzata la pagina Modifica profilo. 12. Cliccare su Salva. È ora possibile aggiungere altre configurazioni per Wi-Fi o VPN e selezionare il certificato o l'Autorità di certificazione come metodo di autenticazione. Il certificato per il dispositivo in uso viene creato una volta distribuito il profilo. 10.5.2.2 Creazione di un profilo del dispositivo SCEP per Android Se si desidera aggiungere un certificato CA alla configurazione di SCEP, occorre creare una configurazione di certificato root per il profilo del dispositivo in cui viene attualmente caricato il file di certificato. Per informazioni generali su come creare un profilo per dispositivi Android, consultare la sezione Creazione di profili e criteri per Android a pagina 51. 1. Creare un nuovo Profilo del dispositivo Android e inserire le informazioni generali a seconda delle esigenze. 2. Cliccare su Aggiungi configurazione. Viene visualizzata la pagina Configurazioni disponibili. 3. Dall'elenco delle configurazioni disponibili, selezionare SCEP. Viene visualizzata la pagina SCEP. 38 Guida in linea per amministratori 4. Nel campo URL, accettare la lunghezza predefinita, che dovrebbe essere %_SCEPPROXYURL_%. 5. Nel campo Nome alias, inserire il nome con il quale comparirà il certificato nelle finestre di dialogo per la selezione. Si consiglia di selezionare un nome significativo che consenta di identificare il certificato. È ad esempio possibile utilizzare lo stesso valore del campo Oggetto descritto qui di seguito, ma senza il prefisso CN=. 6. Nel campo Oggetto, si potrebbe inserire il nome della persona che riceverà il certificato. Inserire la dicitura "CN=" prima del nome/valore. È possibile utilizzare le variabili LDAP disponibili, per esempio "CN=%_DEVPROP(serial_number)_%". 7. Se si desidera configurare un Nome alternativo del soggetto (Subject Alternative Name, SAN) da associare al certificato, selezionarne il tipo nel campo Tipo di nome alternativo del soggetto. 8. Se è stato selezionato un tipo di nome alternativo del soggetto, inserirne il valore nel campo Valore del nome alternativo del soggetto. 9. Non apportare modifiche al campo Challenge. 10. Se è stato caricato un certificato CA in una configurazione di certificato root per l'attuale profilo del dispositivo, è possibile selezionarlo dal campo Certificato root. 11. Verificare che il valore definito nel campo Dimensioni chiave corrisponda alle dimensioni configurate nel server SCEP. 12. Configurare i restanti campi in base alle proprie esigenze e cliccare su Applica. Viene visualizzata la pagina Modifica profilo. 13. Cliccare su Salva. È ora possibile aggiungere altre configurazioni per Wi-Fi o VPN e selezionare il certificato o l'Autorità di certificazione come metodo di autenticazione. Il certificato per il dispositivo in uso viene creato una volta distribuito il profilo. 10.5.2.3 Creazione di un profilo del dispositivo SCEP per Windows Mobile Se si desidera aggiungere un certificato CA alla configurazione di SCEP, occorre creare una configurazione di certificato root per il profilo del dispositivo in cui viene attualmente caricato il file di certificato. Per informazioni generali su come creare un profilo per dispositivi Windows Mobile, consultare la sezione Creazione di un profilo del dispositivo SCEP per Windows Mobile a pagina 112. 1. Creare un nuovo Profilo Windows Mobile e inserire le informazioni generali a seconda delle esigenze. 2. Cliccare su Aggiungi configurazione. Viene visualizzata la pagina Configurazioni disponibili. 3. Dall'elenco delle configurazioni disponibili, selezionare SCEP. Viene visualizzata la pagina SCEP. 4. Nel campo Descrizione, inserire una descrizione del profilo. 5. Nel campo URL, accettare la lunghezza predefinita, che dovrebbe essere %_SCEPPROXYURL_%. 6. Nel campo Oggetto, si potrebbe inserire il nome della persona che riceverà il certificato. Inserire la dicitura "CN=" prima del nome/valore. È possibile utilizzare le variabili LDAP disponibili, per esempio "CN=%_DEVPROP(UDID)_%". 39 Sophos Mobile Control 7. Se si desidera configurare un Nome alternativo del soggetto (Subject Alternative Name, SAN) da associare al certificato, cliccare su Aggiungi accanto a Tipo di nome alternativo del soggetto, selezionare il tipo di nome alternativo del soggetto, e immetterne il valore. Ripetere questo passaggio per aggiungere altri valori di nome alternativo del soggetto. 8. Non apportare modifiche al campo Challenge. 9. Se è stato caricato un certificato CA in una configurazione di certificato root per l'attuale profilo del dispositivo, è possibile selezionarlo dal campo Certificato root. 10. Verificare che il valore definito nel campo Dimensioni chiave corrisponda alle dimensioni configurate nel server SCEP. 11. Utilizzare le caselle di spunta Utilizza come firma digitale e Utilizza per la cifratura per specificare lo scopo del certificato richiesto. È necessario selezionare almeno una di queste due opzioni. 12. Sotto Algoritmo hash, selezionare uno o più algoritmi hash supportati dal server SCEP. 13. Cliccare su Applica. 14. Nella pagina Modifica criterio, cliccare su Salva. È ora possibile aggiungere altre configurazioni, ad es. per Wi-Fi, e selezionare il certificato o l'Autorità di certificazione come metodo di autenticazione. Il certificato per il dispositivo in uso viene creato una volta distribuito il profilo. 10.6 Configurazione delle impostazioni utente Nella scheda Impostazione utente è possibile apportare modifiche alle impostazioni di gestione degli utenti. Per maggiori informazioni, consultare la sezione Gestione degli utenti del portale self-service a pagina 30 e la Guida per super administrator di Sophos Mobile Control. 40 Guida in linea per amministratori 11 Regole di conformità Con le regole di conformità è possibile: ■ Autorizzare, vietare o implementare funzionalità specifiche in un dispositivo. ■ Definire le azioni da eseguire quando viene violata una regola di conformità. È possibile creare vari set di regole di conformità, che possono poi essere assegnati ai gruppi di dispositivi. Ciò consente di applicare livelli di protezione diversi ai dispositivi gestiti. Suggerimento: Se si ha intenzione di gestire sia dispositivi aziendali che personali, si consiglia di definire set ben distinti di regole di conformità, almeno per quanto riguarda questi due tipi di dispositivo. 11.1 Crea regole di conformità Per creare un set di regole di conformità: 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Regole di conformità. 2. Nella pagina Regole di conformità, cliccare su Crea regole di conformità. 3. Inserire un Nome e una Descrizione opzionale per il nuovo set di regole di conformità. La pagina Regole di conformità contiene schede individuali per le varie piattaforme che sono attivate per il cliente. Ripetere la seguente procedura per tutte le piattaforme, a seconda delle esigenze. 4. Verificare che la casella di spunta Abilita piattaforma risulti selezionata in tutte le schede. Se questa casella non è spuntata, non sarà possibile verificare la conformità dei dispositivi appartenenti alla piattaforma corrispondente. 5. Sotto Regola, configurare i criteri di conformità per la piattaforma selezionata. Ciascuna regola di conformità possiede un livello di gravità fisso (alto, medio, basso), che viene segnalato da un'icona blu. Il livello di gravità aiuta a valutare l'importanza di ciascuna regola e le azioni da implementare in caso di violazione. Se sono stati definiti gruppi di app, è possibile assegnarli alle regole di conformità App consentite, App proibite e App obbligatorie. 41 Sophos Mobile Control 6. Sotto Se viene violata una regola, definire le azioni da intraprendere in caso di violazione di una regola: Opzione Descrizione Nega e-mail Vieta accesso alle e-mail Questa azione può essere intrapresa solo se si utilizza il server proxy di EAS di Sophos Mobile Control. Consultare la Guida per super administrator di Sophos Mobile Control. Blocca contenitore Disattiva le app Sophos Secure Workspace e Secure Email. Ciò incide sui documenti, le e-mail e l'accesso al web gestiti da queste app. Questa azione può essere intrapresa solamente dopo l'attivazione di una licenza SMC Advanced. Questa opzione è applicabile solamente ai dispositivi Android e Apple iOS. Nega rete Vieta accesso alla rete Questa azione può essere intrapresa solamente se il super administrator ha attivato Configurazione di Network Access Control (controllo di accesso alla rete). Consultare la Guida per super administrator di Sophos Mobile Control. Notifica amministratore Invia e-mail relative alla conformità ai destinatari selezionati. L'elenco di destinatari e la pianificazione degli orari vengono specificati collettivamente per tutti i set di regole di conformità creati. Vedere le istruzioni riportate in questa sezione. Trasferisci bundle delle operazioni Trasferisce un bundle delle operazioni specifico al dispositivo. Selezionare un bundle delle operazioni dall’elenco, oppure selezionare Nessuno per non trasferire alcun bundle delle operazioni in caso di violazione di una regola di conformità. Importante: Se utilizzati in modo improprio, i bundle delle operazioni potrebbero essere configurati in modo errato o potrebbero addirittura portare alla cancellazione dei dati dal dispositivo. Per assegnare i bundle delle operazioni corretti alle regole di conformità, è necessaria una conoscenza approfondita del sistema. 7. Una volta effettuata l'impostazione di tutte le piattaforme richieste, cliccare su Salva per salvare il set di regole di conformità con il nome specificato. Il nuovo set viene quindi visualizzato nella pagina Regole di conformità. 42 Guida in linea per amministratori 8. Se è stata selezionata l'azione Notifica amministratore per una delle regole di conformità, cliccare su Impostazioni e-mail di conformità per specificare i destinatari che devono ricevere le e-mail di conformità e gli orari a cui tali e-mail devono essere inviate. I destinatari possono essere specificati inserendo o il nome di un amministratore, oppure un valido indirizzo e-mail. Nota: Queste sono impostazioni comuni che sono applicabili a tutte le regole di conformità per le quali è stata specificata un'azione Notifica amministratore. 9. Cliccare su Salva per salvare le impostazioni delle e-mail di conformità. 11.2 Impostazioni di conformità disponibili Le seguenti tabelle mostrano le impostazioni di conformità a disposizione per ciascuna piattaforma, visibili sotto Regola nelle schede Regole di conformità. Impostazione Descrizione Android iOS Windows Mobile Windows Desktop Gestione obbligatoria Definire l'azione da eseguire quando un dispositivo smette di essere gestito. Versione minima dell’app SMC Inserire la versione minima dell’app Sophos Mobile Control da installare nel dispositivo. Diritti di Root consentiti Scegliere se autorizzare i dispositivi con diritti root. Nessuna app non ufficiale consentita Scegliere se autorizzare sui dispositivi le app aventi origini sconosciute. Android Debug Bridge (ADB) consentito Scegliere se autorizzare ADB (Android Debug Bridge) nei dispositivi. Consenti Jailbreak Scegliere se autorizzare i dispositivi con jailbreak. Password obbligatoria Selezionare se sia obbligatorio utilizzare una password o un altro meccanismo di blocco (ad es. sequenza o PIN) per il dispositivo. Per Android, sono inclusi i tipi di blocco del display Sequenza, PIN e Password, ma non Scorrimento. 43 Sophos Mobile Control Impostazione Descrizione Versione SO minima Scegliere la versione minima del sistema operativo richiesta nei dispositivi. Numero max. di versione del SO Scegliere la versione minima del sistema operativo consentita nei dispositivi. Intervallo massimo di Indicare l'intervallo massimo sincronizzazione fra i processi di sincronizzazione per i dispositivi. Intervallo massimo di Indicare l'intervallo massimo sincronizzazione fra le sincronizzazioni delle dell'app SMC app iOS per i dispositivi. Per ulteriori informazioni, consultare la Guida in linea per utenti di Sophos Mobile Control. Nota: Questa impostazione è applicabile solo ai dispositivi con iOS versione 6.1.6 o precedente. Intervallo massimo della scansione di SMSec Questo campo viene visualizzato solo se Sophos Mobile Security è disponibile per questo cliente. Per ulteriori informazioni, consultare la sezione Gestione di Sophos Mobile Security da Sophos Mobile Control a pagina 167. In questo campo è possibile specificare l'intervallo massimo fra le scansioni alla ricerca di malware eseguite dall'app di Sophos Mobile Security nel dispositivo. Negazione delle Per il corretto funzionamento autorizzazioni SMSec di Sophos Mobile Security, si consentita richiedono autorizzazioni specifiche per il dispositivo. L'utente deve concedere queste autorizzazioni durante l'installazione dell'app. Selezionare se la negazione delle autorizzazioni richieste debba risultare in una violazione della conformità. 44 Android iOS Windows Mobile Windows Desktop Guida in linea per amministratori Impostazione Descrizione App di malware consentite Questo campo viene visualizzato solo se Sophos Mobile Security è disponibile per questo cliente. Android iOS Windows Mobile Windows Desktop Scegliere se autorizzare nei dispositivi le app di malware rilevate. App sospette consentite Questo campo viene visualizzato solo se Sophos Mobile Security è disponibile per questo cliente. Scegliere se autorizzare nei dispositivi le app sospette rilevate. PUA consentite Questo campo viene visualizzato solo se Sophos Mobile Security è disponibile per questo cliente. Scegliere se autorizzare le PUA (Potentially Unwanted App) nei dispositivi. Cifratura obbligatoria Scegliere se debba essere richiesta la cifratura per i dispositivi. Roaming dei dati consentito Scegliere se consentire il roaming dei dati per i dispositivi. Autorizzazione di individuazione obbligatoria Questa impostazione si riferisce alla funzione Individua posizione geografica. Selezionare se, per essere considerato conforme, l'utente debba autorizzare durante l'installazione l'app Sophos Mobile Control a recuperare i dati relativi alla posizione geografica. L’app è in grado di effettuare l'individuazione Selezionare se, per essere considerato conforme, l'utente debba autorizzare durante l'installazione l'app Sophos Mobile Control a recuperare i dati relativi alla posizione geografica. 45 Sophos Mobile Control Impostazione Descrizione Autorizzazione per il Sophos Mobile Security deve controllo dei disporre dell'accesso all'uso, processi obbligatorio per garantire che le app bloccate non possano essere aperte, e che le app protette richiedano l'inserimento della password. Selezionare se la negazione dell'accesso all'uso debba risultare in una violazione della conformità. App consentite / App È possibile aggiungere App proibite consentite e App proibite. Selezionare l'opzione desiderata dal primo elenco, e specificare nel secondo elenco il gruppo di app contenente le app da autorizzare o da vietare. Per informazioni sulla creazione dei gruppi di app, consultare la sezione Utilizzo dei gruppi di app a pagina 141. Se vengono specificate App consentite, verranno consentite sul dispositivo solamente le app elencate. Se vengono rilevate altre app, il dispositivo non risulterà più conforme. Nota: Le app di sistema Android sono autorizzate automaticamente. Se vengono specificate App proibite, il dispositivo non risulterà conforme nel caso in cui vengano rilevate le app contenute in questo elenco. App obbligatorie 46 Specificare le app da installare nei dispositivi. Selezionare dall'elenco il gruppo di app contenente le app obbligatorie. Per informazioni sulla creazione dei gruppi di app, consultare la sezione Utilizzo dei gruppi di app a pagina 141. Android iOS Windows Mobile Windows Desktop Guida in linea per amministratori Impostazione Descrizione Windows Defender deve essere attivato Il software antispyware Windows Defender dovrà essere attivato nel dispositivo. Nessun avviso di Windows Defender consentito Il dispositivo risulterà non conforme quando sono presenti avvisi di Windows Defender. Definizioni aggiornate di Windows Defender obbligatorie Windows Defender dovrà utilizzare le definizioni di spyware più recenti. Android iOS Windows Mobile Windows Desktop 11.3 Assegnazione di regole di conformità ai gruppi di dispositivi 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Gruppi di dispositivi. Verrà visualizzata la pagina Gruppi di dispositivi. 2. Cliccare sul triangolo blu di fianco al gruppo di dispositivi a cui si desidera attribuire un set di regole di conformità, e cliccare su Modifica. Vi sarà sempre un gruppo di dispositivi Predefinito a disposizione. Per informazioni sulla creazione di gruppi di dispositivi personalizzati, consultare la sezione Creazione di gruppi di dispositivi a pagina 154. 3. Sotto Regole di conformità, nei campi Dispositivi aziendali e Dispositivi personali, selezionare il set di regole di conformità che si desidera applicare. 4. Cliccare su Salva. Le impostazioni di conformità selezionate verranno visualizzate nella pagina Gruppi di dispositivi del relativo gruppo di dispositivi, sotto Criterio per dispositivi aziendali e Criterio per dispositivi personali. 11.4 Verifica della conformità dei dispositivi Una volta configurate le impostazioni di conformità, è possibile verificare se i dispositivi registrati siano conformi alle regole definite. 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Regole di conformità. Verrà visualizzata la vista Regole di conformità. 2. Cliccare su Verifica subito. Verrà verificata la conformità di tutti i dispositivi registrati, in base alle regole definite in Regole di conformità. Le azioni specificate vengono quindi eseguite. Il grafico a torta nel Pannello di controllo verrà quindi aggiornato di conseguenza. 47 Sophos Mobile Control 12 Aggiunta di dispositivi a Sophos Mobile Control È possibile aggiungere più dispositivi a Sophos Mobile Control scegliendo uno dei seguenti modi: ■ Aggiungi dispositivi manualmente. ■ Importa dispositivi da un file con valori delimitati da virgole (CSV). ■ Utilizzare la procedura guidata di registrazione per aggiungere un dispositivo a Sophos Mobile Control, assegnarlo a un utente, registrarlo, e trasferire un bundle delle operazioni di registrazione. Consultare la sezione Utilizzo della procedura guidata di registrazione del dispositivo per assegnare e registrare nuovi dispositivi a pagina 151. ■ Consentire agli utenti finali di registrare i propri dispositivi in maniera indipendente tramite portale self-service. Vedere la sezione Configurazione del portale self-service a pagina 25. Il portale self-service riduce notevolmente il carico di lavoro del reparto IT aziendale consentendo agli utenti di effettuare operazioni specifiche in autonomia e senza dover contattare l'helpdesk. Il provisioning dei dispositivi viene effettuato eseguendo i bundle delle operazioni definiti. Consultare la sezione Utilizzo dei bundle delle operazioni a pagina 129. Per ulteriori informazioni sull'utilizzo del portale self-service per registrare dispositivi in Sophos Mobile Control, consultare le Guide in linea per utenti di Sophos Mobile Control. Si consiglia di utilizzare i gruppi di dispositivi per raggruppare i dispositivi e poterne svolgere l’amministrazione in maniera più semplice. Consultare la sezione Gruppi di dispositivi a pagina 154. 12.1 Aggiungi dispositivo Si consiglia di creare uno o più gruppi di dispositivi prima di aggiungere il primo dispositivo a Sophos Mobile Control. Sarà poi possibile assegnare ciascun dispositivo a un gruppo di dispositivi, per semplificare la gestione dei dispositivi stessi. Consultare la sezione Creazione di gruppi di dispositivi a pagina 154. Per aggiungere un nuovo dispositivo a Sophos Mobile Control: 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Cliccare su Aggiungi e selezionare la piattaforma dalla sezione del menù Aggiungi dispositivo manualmente. Verrà visualizzata la pagina Modifica dispositivo. 3. Nella pagina Modifica dispositivo, specificare i seguenti dettagli del dispositivo: a) Nel campo Nome, inserire il nome univoco del nuovo dispositivo. b) Nel campo Descrizione, inserire una descrizione per il nuovo dispositivo. c) Sotto Proprietario, selezionare Azienda o Dipendente. d) Nel campo Indirizzo e-mail inserire l'indirizzo e-mail. 48 Guida in linea per amministratori Nota: i campi obbligatori sono contrassegnati da un asterisco rosso. e) Nel campo Numero telefonico, inserire il numero telefonico del nuovo dispositivo. Inserire il numero telefonico completo di prefisso internazionale, ad esempio: +491701234567. f) Sotto Gruppo di dispositivi, indicare il gruppo a cui si desidera assegnare il dispositivo. Nota: è disponibile un gruppo di dispositivi Predefinito. Se non sono stati ancora definiti gruppi di dispositivi personalizzati, sarà possibile aggiungere i dispositivi a questo gruppo. Per informazioni sulla creazione di gruppi di dispositivi personalizzati, consultare la sezione Creazione di gruppi di dispositivi a pagina 154. 4. Per assegnare un utente esterno o interno al dispositivo, cliccare sull’icona Modifica assegnazione utente accanto al campo Utente, e successivamente cliccare su Assegna utente al dispositivo. Per ulteriori informazioni, consultare la sezione Assegnazione di un utente a un dispositivo a pagina 148. 5. Per aggiungere proprietà personalizzate al dispositivo, selezionare la scheda Proprietà personalizzate e cliccare su Aggiungi proprietà personalizzata. Per ulteriori informazioni, consultare la sezione Definizione di proprietà personalizzate per i dispositivi a pagina 149. 6. Una volta specificati tutti i necessari dettagli del dispositivo, cliccare su Salva. Il nuovo dispositivo verrà aggiunto alla console web di Sophos Mobile Control e visualizzato nella pagina Dispositivi, sotto GESTISCI. È ora possibile effettuare il provisioning e la gestione del dispositivo. Nota: Per i dispositivi iOS, una volta configurato Sophos Mobile Control per la sincronizzazione del nome del dispositivo con il dispositivo (come descritto in Configurazione delle impostazioni per iOS a pagina 21), il nome inserito nel campo Nome verrà sostituito dal nome impostato durante la sincronizzazione. 12.2 Duplicazione di un dispositivo In Sophos Mobile Control è possibile creare nuovi dispositivi semplicemente duplicando quelli esistenti. Nota: è possibile duplicare solo i dispositivi che non sono stati modificati. Le copie effettuate riporteranno il nome “Copy of” (Copia di) seguito dal nome del bundle originale. è possibile rinominare i dispositivi in base alle proprie necessità. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Cliccare sul dispositivo che si desidera duplicare. Verrà visualizzata la pagina Mostra dispositivo. 3. Cliccare su Azioni e quindi su Duplica questo dispositivo. Il dispositivo verrà duplicato e visualizzato nella pagina Dispositivi. È ora possibile apportare le modifiche necessarie al dispositivo. Per modificare il dispositivo, cliccare il triangolo blu situato di fianco e quindi cliccare su Modifica. 12.3 Importa dispositivi È possibile aggiungere nuovi dispositivi importando un file con valori delimitati da virgole (CSV) e con codifica UTF-8, che può includere sino a un massimo di 500 dispositivi. 49 Sophos Mobile Control Nota: Utilizzare l'editor di testo per apportare modifiche al file CSV. Se si utilizza Microsoft Excel, i valori inseriti potrebbero non essere risolti in modo corretto. Verificare che il file venga salvato con l’estensione .csv. Suggerimento: Un file di esempio, in cui vengono riportati i nomi e l'ordine corretto delle colonne, è scaricabile dalla pagina Importa dispositivi. Per importare i dispositivi da un file CSV: 1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi. 2. Nella pagina Dispositivi, cliccare su Aggiungi > Importa dispositivi. 3. Nella pagina Importa dispositivi, cliccare su Carica file e navigare sul file CSV preparato in precedenza. Le voci verranno lette dal file e visualizzate. 4. Se i dati non vengono impostati nel giusto formato, o se sono inconsistenti, non sarà possibile importare l'intero file. In tale eventualità, esaminare i messaggi di errore visualizzati accanto alle relative voci, correggere il contenuto del file CSV a seconda di quanto richiesto e caricarlo nuovamente. 5. Cliccare su Fine per creare i dispositivi. I dispositivi elencati nel file CSV verranno importati e visualizzati nella pagina Dispositivi. È ora possibile effettuare la registrazione e la configurazione dei dispositivi. 50 Guida in linea per amministratori 13 Utilizzo di profili e criteri Profili I profili sono impostazioni che vengono definite e successivamente trasferite su un dispositivo o gruppo di dispositivi. Per trasferire un profilo a uno o più dispositivi, Sophos Mobile Control crea un’operazione e la esegue all’orario specificato. Quando un profilo viene aggiornato, occorre trasferirlo nuovamente, per consentire l’implementazione sul dispositivo delle configurazioni modificate. Sono disponibili i seguenti tipi di profilo: ■ Profilo del dispositivo Android ■ Profilo del contenitore Android KNOX ■ Profilo del dispositivo iOS ■ Profilo del dispositivo iOS importato dall'Apple Configurator Criteri I criteri sono impostazioni che vengono definite e successivamente assegnate a un dispositivo o gruppo di dispositivi. A ciascun dispositivo è consentito assegnare solamente un criterio per ciascun tipo. L'assegnazione di un criterio a un dispositivo attiva automaticamente una sincronizzazione, e le impostazioni vengono applicate immediatamente. I criteri assegnati vengono attivati sul dispositivo ogni volta che un dispositivo si connette al server di Sophos Mobile Control. Per cui quando si aggiorna un criterio non occorre riapplicarlo esplicitamente al dispositivo. Sono disponibili i seguenti tipi di criterio: ■ Criterio del contenitore Sophos per Android ■ Criterio di mobile security per Android ■ Criterio del contenitore Sophos per iOS ■ Criterio per Windows Mobile ■ Criterio per Windows Desktop 13.1 Creazione di profili e criteri per Android Per Android è possibile creare: ■ Profili del dispositivo ■ Criteri del contenitore Sophos (si richiede una licenza Advanced) ■ Criteri di Mobile Security (si richiede una licenza Advanced) 51 Sophos Mobile Control ■ Profili del contenitore KNOX (si richiede una licenza KNOX) 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e quindi su Android. Verrà visualizzata la pagina Profili e criteri. 2. Cliccare su Crea e selezionare Profilo del dispositivo, Criterio del contenitore Sophos, Criterio di Mobile Security, oppure Profilo del contenitore KNOX. Verrà visualizzata la pagina Modifica profilo oppure Modifica criterio. 3. 4. 5. 6. Inserire un Nome e una Versione per il nuovo profilo. Nel campo Descrizione, inserire una descrizione del profilo. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. Cliccare su Aggiungi configurazione. Verrà visualizzata la pagina Configurazioni disponibili. 7. Selezionare la configurazione che si desidera aggiungere, quindi cliccare su Avanti. Verrà visualizzata la pagina dedicata alla configurazione. 8. Indicare le impostazioni necessarie. Per un elenco dettagliato delle configurazioni e impostazioni disponibili, vedere la sezione Configurazioni disponibili per i profili del dispositivo a pagina 52. 9. Per salvare le modifiche apportate cliccare su Applica. La configurazione verrà visualizzata nella pagina Modifica profilo o Modifica criterio, sotto Configurazioni. 10. Una volta aggiunte tutte le configurazioni necessarie cliccare su Salva. Il profilo è ora disponibile per il trasferimento e verrà visualizzato nella pagina Profili e criteri per Android. 13.1.1 Configurazioni disponibili per i profili del dispositivo Le seguenti configurazioni sono disponibili per i profili Android nella pagina Configurazioni disponibili, quando si crea o si modifica un profilo. Alcune configurazioni possono essere aggiunte solo una volta nel profilo, mentre altre possono essere utilizzate più volte. Nota: Le impostazioni supportate possono dipendere dalla versione del sistema operativo, oppure da altre funzionalità del dispositivo. Se una configurazione, oppure un’impostazione all’interno di una configurazione, è supportata solamente per dispositivi specifici, l’ambito di compatibilità viene indicato da un'etichetta blu. Criteri password In questa configurazione, è possibile definire le regole per le password da applicare ai dispositivi. È possibile aggiungere solo una configurazione per i Criteri password nel profilo. Quando si seleziona la configurazione Criteri password, viene visualizzato il campo Tipo di password. In questo campo, scegliere il tipo di password che si desidera definire: ■ Tutti Gli utenti dovranno impostare una password sui propri dispositivi. Non sono però presenti restrizioni o richiesti requisiti specifici riguardanti le password. 52 Guida in linea per amministratori ■ Alfabetico ■ PIN ■ Alfanumerico ■ Complesso Se si seleziona l'opzione Alfabetico, PIN o Alfanumerico, vengono visualizzati i seguenti campi: Impostazione/campo Descrizione Lunghezza minima della password Indica il numero minimo di caratteri per password. Tempo di inattività prima che venga richiesto di inserire la password In questo campo è possibile indicare l'intervallo di tempo (in minuti) entro il quale, se il dispositivo non è stato utilizzato, verrà bloccato. Il dispositivo può essere sbloccato inserendo la password. Durata massima della password in giorni Richiede agli utenti di modificare la password entro l'intervallo specificato. Range valore: da 0 (non è richiesto di cambiare la password) a 730 giorni. Numero massimo di tentativi non riusciti prima In questo campo è possibile indicare il numero di cancellare i dati dal dispositivo massimo di tentativi non riusciti di inserimento della password prima che venga effettuata la formattazione del dispositivo. Lunghezza minima della cronologia In questo campo, è possibile indicare quante password precedenti memorizzare e confrontare con quelle nuove. Quando l'utente definisce una nuova password, questa non viene accettata se corrisponde a una precedente. Range valore: da 1 a 5 o nessuno. Se si seleziona Complesso, oltre ai campi relativi agli altri tipi di password vengono visualizzati i seguenti campi: Impostazione/campo Descrizione Numero minimo di lettere Indica il numero minimo di lettere per password. Numero minimo di lettere in minuscolo Indica il numero minimo di lettere in minuscolo per password. Numero minimo di lettere in maiuscolo Indica il numero minimo di lettere in maiuscolo per password. Numero minimo caratteri non alfabetici Indica il numero minimo di caratteri non alfabetici (per es. & o !) per password. 53 Sophos Mobile Control Impostazione/campo Descrizione Numero minimo di numeri Indica il numero minimo di numeri per password. Numero minimo caratteri speciali Indica il numero minimo di caratteri speciali (per es. !"§$%&/()=,.-;:_@<>) per password. Restrizioni In questa configurazione, è possibile definire le restrizioni per i dispositivi. È possibile aggiungere solo una configurazione per le Restrizioni del profilo. Impostazione/campo Descrizione Forza cifratura Consenti macchina fotografica Disattivando questa opzione, le macchine fotografiche sono completamente disabilitate nel dispositivo. Consenti fotocamera nella schermata di Disattivando questa opzione, quando lo schermo è blocco bloccato la macchina fotografica del dispositivo viene disabilitata. Consenti widget nella schermata di blocco Disattivando questa opzione, quando lo schermo è bloccato i widget del dispositivo sono disabilitati. Consenti ripristino delle impostazioni predefinite Disattivando questa opzione, gli utenti non potranno reimpostare i dispositivi sui valori predefiniti. Consenti le modifiche alle impostazioni Disattivando questa opzione, gli utenti non potranno modificare le impostazioni del dispositivo. A seconda dei singoli dispositivi verrà rimossa l'icona delle impostazioni. Consenti backup Disattivando questa opzione, gli utenti non potranno effettuare il backup dei sistemi. Il backup di Google è disattivato. Gli altri metodi di backup (per es. backup di Sophos Mobile Control) restano attivi. Consenti browser nativo Disattivando questa opzione , i browser nativi vengono disabilitati nel dispositivo. Consenti Appunti Disattivando questa opzione, gli utenti non potranno copiare nessun contenuto negli appunti. Nota: Questa impostazione è applicabile ai dispositivi con Android versione 4.2.2 o superiore. 54 Guida in linea per amministratori Impostazione/campo Descrizione Consenti Play Store Disattivando questa opzione, il Play Store è disabilitato nel dispositivo. Nota: Questa applicazione non è applicabile ai dispositivi con Android versione 4.2.1 o precedente. Consenti app non ufficiali Disattivando questa opzione, le app non possono essere installate se hanno origini sconosciute. Consenti Bluetooth Disattivando questa opzione, il Bluetooth è disabilitato nel dispositivo. Consenti NFC Disattivando questa opzione, la funzionalità NFC (near field communication) viene disabilitata nel dispositivo. Consenti acquisizione schermo Se questa opzione viene disattivata, gli utenti non potranno catturare nessuna immagine dello schermo. Consenti scheda SD Disattivando questa opzione, le schede SD non potranno essere utilizzate nei dispositivi. Consenti debugging USB Disattivando questa opzione, il debugging USB viene disabilitato nel dispositivo. Consenti USB Disattivando questa opzione, la modalità di archiviazione di massa USB e la modalità USB media player saranno disabilitate nel dispositivo. Consenti tethering WiFi Disattivando questa opzione, il tethering Wi-Fi viene disabilitato nel dispositivo. Consenti tethering USB Disattivando questa opzione, il tethering USB viene disabilitato nel dispositivo. Consenti tethering Bluetooth Disattivando questa opzione, il tethering Bluetooth viene disabilitato nel dispositivo. Consenti la sincronizzazione durante il roaming Disattivando questa opzione, la sincronizzazione durante il roaming viene disabilitata. Consenti connessione dati dei dispositivi Disattivando questa opzione, le connessioni dati dei mobili in roaming dispositivi mobili in roaming sono disabilitate. Consenti microfono Consenti posizioni GPS fittizie 55 Sophos Mobile Control Impostazione/campo Descrizione Consenti le opzioni spostamento della scheda SD nelle impostazioni del dispositivo Consenti scrittura della scheda SD Consenti tethering Consenti lettore multimediale USB Consenti le chiamate vocali durante il roaming Disattivando questa opzione, le chiamate vocali durante il roaming sono disabilitate. Consenti i report di arresto delle applicazioni Disattivando questa opzione, i report sull'arresto di un'applicazione sono disabilitati. Consenti gli upgrade over-the-air di firmware Consenti registrazione video Consenti blocco attivazione Consenti modalità aereo Consenti Android Beam Consenti registrazione audio Consenti modalità sviluppatore Consenti ripristino veloce Consenti ripristino firmware Consenti auto-sincronizzazione per gli account Google Consenti S Beam Consenti S Voice Consenti elenco condivisioni Consenti soglia dati per dispositivo mobile utente 56 Guida in linea per amministratori Impostazione/campo Descrizione Consenti VPN Consenti modifiche ai wallpaper Consenti Wi-Fi Direct Consenti installazione app Consenti disinstallazione app Consenti modalità provvisoria Consenti SMS Consenti solo chiamate di emergenza Rendi GPS obbligatorio per le query di posizione Consenti installazione di app senza firma Consenti criterio Miracast Consenti rimozione dell'account Google Rendi connessione dati obbligatoria per i dispositivi mobili Rendi sincronizzazione manuale obbligatoria mentre in roaming Consenti account utenti multipli Consenti aggiunta di nuovi account e-mail Consenti modalità criteri comuni App consentite / App proibite È possibile aggiungere App consentite e App proibite. Selezionare l'opzione desiderata dal primo elenco, e specificare nel secondo elenco il gruppo di app contenente le app da autorizzare o da vietare. Per informazioni sulla creazione dei gruppi di app, consultare la sezione Utilizzo dei gruppi di app a pagina 141. 57 Sophos Mobile Control Restrizioni di KNOX Premium In questa configurazione, è possibile definire restrizioni per un dispositivo Samsung KNOX, che possono poi essere applicate ai dispositivi e non ai contenitori. Opzione Descrizione Consenti opzione di auto-aggiornamento di firmware Consenti verifica di ODE Trusted Boot Impedisci installazione di un'altra app di amministrazione Attivando questa opzione è possibile bloccare l'installazione di app che richiedono privilegi di amministratore del dispositivo. Impedisci attivazione di un'altra app di amministrazione Attivando questa opzione è possibile bloccare l'attivazione di app che richiedono privilegi di amministratore del dispositivo. Consenti modalità criteri comuni App Protection In questa configurazione, è possibile definire impostazioni per proteggere con password le app nei dispositivi degli utenti finali. Quando si utilizza App Protection, gli utenti dovranno definire una password al primo avvio di una app protetta. Nella configurazione di App Protection, definire i requisiti delle password e le app da proteggere. Dopo un tentativo di accesso non riuscito viene imposto un ritardo applicato al tentativo di accesso successivo. Se App Protection è attiva sui dispositivi degli utenti finali, verrà visualizzato il comando Reimposta la password di App Protection nel menù Azioni della pagina Mostra dispositivo. L'utente può anche reimpostare la password di App Protection direttamente dal portale self-service. Per ulteriori informazioni, consultare la Guida in linea per utenti di Sophos Mobile Control. 58 Impostazione/campo Descrizione Complessità della password In questo campo definire i requisiti di complessità minima per le password scelte dagli utenti, per esempio Password di 6 caratteri. Periodo di tolleranza in minuti In questo campo selezionare il periodo di tolleranza. Una volta scaduto il periodo di tolleranza, le app protette potranno essere sbloccate solamente inserendo la relativa password. Guida in linea per amministratori Impostazione/campo Descrizione Gruppo di app Selezionare il gruppo di app contenente le app che si desidera proteggere con password. Per creare gruppi di app, consultare la sezione Utilizzo dei gruppi di app a pagina 141. App Control In questa configurazione vengono definite le app la cui esecuzione non è consentita sul dispositivo. È possibile utilizzare questa funzione per bloccare, ad esempio, le app preinstallate dall’azienda produttrice del dispositivo che non possono essere disinstallate. Impostazione/campo Descrizione Gruppo di app Selezionare il gruppo di app contenente le app bloccate. Per informazioni sulla creazione dei gruppi di app, vedere la sezione Utilizzo dei gruppi di app a pagina 141. Exchange ActiveSync In questa configurazione, è possibile definire le impostazioni utente per Microsoft Exchange Server. È possibile aggiungere più configurazioni di Exchange ActiveSync. Impostazione/campo Descrizione Nome account Inserire il nome dell'account in questo campo. Host Exchange ActiveSync Inserire l'indirizzo del Microsoft Exchange Server. Nota: Se si utilizza SMC EAS proxy, inserire l'URL del server proxy di SMC. Dominio Inserire il dominio dell'account. Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_% e il server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile 59 Sophos Mobile Control Impostazione/campo Descrizione %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Mittente Inserire il nome del mittente dell'account. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Password Inserire la password dell'account in questo campo. Se si lascia questo campo vuoto, gli utenti dovranno inserire la password nei propri dispositivi. Periodo di sincronizzazione Indicare l'intervallo di tempo per la sincronizzazione delle e-mail. Si tratta del numero di giorni per cui si effettuerà la sincronizzazione delle e-mail. Se viene specificato un intervallo di tempo, non tutte le e-mail in arrivo, ma solo quelle che rientrano nell'intervallo di tempo indicato verranno sincronizzate. È possibile selezionare i seguenti periodi di sincronizzazione: Un giorno Tre giorni Una settimana Due settimane Un mese Intervallo di sincronizzazione In questo campo è possibile selezionare l'intervallo fra i processi di sincronizzazione delle e-mail: Mai 5 minuti 10 minuti 15 minuti 30 minuti 1 ora 60 SSL Verificare che questa opzione sia selezionata, per poter inviare tutte le comunicazioni tramite SSL (Secure Socket Layer). Account predefinito L’account verrà usato come account e-mail predefinito. Consenti tutti i certificati Autorizza tutti i certificati nei processi di trasferimento dal server e-mail. Guida in linea per amministratori Impostazione/campo Descrizione Certificato client In questo campo è possibile scegliere il certificato client per la connessione a ActiveSync. Consenti inoltro e-mail Consenti inoltro e-mail. Consenti utilizzo di formato HTML Consente l'utilizzo del formato HTML nelle e-mail. Dimensioni massime degli allegati in MB Selezionare il numero massimo di e-mail dall’elenco (1, 3, 5, 10, Illimitato). Tipi di contenuto della sincronizzazione Selezionare i tipi di contenuto da sincronizzare. Note Informazioni di contatto Calendario Operazioni Wi-Fi In questa configurazione è possibile specificare le impostazioni per la connessione alle reti wireless. È possibile aggiungere più configurazioni Wi-Fi. Impostazione/campo Descrizione SSID Inserire l'ID della rete wireless. Tipo di sicurezza In questo campo è possibile selezionare il tipo di protezione della rete Wi-Fi: Nessuno WEP WPA/WPA2 EAP/PEAP [SAFEv2+] [LG GATEv4.0+] [SONYv5+] EAP/TLS [SAFEv2+] [LG GATEv4.0+] [SONYv5+] EAP/TTLS [SAFEv2+] [LG GATEv4.0+] [SONYv5+] Se si selezionano WEP o WPA/WPA2, viene visualizzato un campo Password. Inserire la password richiesta. Se si selezionano una delle impostazioni EAP, vengono visualizzati i campi Identità, Identità anonima e Password. Inserire le informazioni EAP richieste. 61 Sophos Mobile Control Impostazione/campo Descrizione Se si sceglie l'impostazione EAP/PEAP o EAP/TTLS, viene visualizzato anche il campo Autorizzazione della fase 2. Selezionare il tipo di autorizzazione: PAP CHAP MSCHAP MSCHAPv2 VPN In questa configurazione, è possibile definire le impostazioni VPN per le connessioni di rete. È possibile aggiungere più configurazioni VPN. Impostazione/campo Descrizione Nome connessione In questo campo è necessario inserire il nome della connessione visualizzato nel dispositivo. Server In questo campo è necessario inserire il nome host o l'indirizzo IP del server. Tipo di connessione In questo campo selezionare il tipo di connessione: L2TP/IPsec (PSK) Se si sceglie questo tipo di connessione, vengono visualizzati i campi Utente, Password e L2TP/IPsec (PSK). Inserire l'utente e la password. Nel campo L2TP/IPsec (PSK), inserire la chiave precondivisa per l'autenticazione. L2TP/IPsec (Certificato) Se si seleziona questo tipo di connessione, vengono visualizzati i campi Certificato client, Certificato root, Utente e Password. Nei campi Certificato client e Certificato root, scegliere i relativi certificati. Inserire inoltre l'Utente e la relativa Password. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. 62 Guida in linea per amministratori Certificato client Con questa configurazione, è possibile caricare un certificato client nei dispositivi. È possibile aggiungere più configurazioni di Certificato client. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Inserire la Password relativa al certificato selezionato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. SCEP Per la configurazione SCEP, consultare la sezione Creazione di un profilo del dispositivo SCEP per Android a pagina 38. Access Point Name Nella configurazione Access Point Name viene specificata una configurazione Access Point Name (APN) per i dispositivi mobili. Le configurazioni APN definiscono la modalità di connessione dei dispositivi a una rete mobile. È possibile aggiungere configurazioni Access Point Name multiple a un profilo. Ad eccezione del campo APN, tutte le impostazioni sono opzionali e devono essere specificate solamente se richiesto dall’operatore di rete mobile. Importante: Si consiglia di chiedere al proprio operatore quali siano le impostazioni necessarie. Se si seleziona Utilizzare come APN predefinito e le impostazioni non sono corrette, il dispositivo non potrà accedere alle reti mobili. Impostazione/campo Descrizione APN L’APN citato dal dispositivo quando apre una connessione con l’operatore di rete. Deve corrispondere a un APN che viene accettato dall’operatore, altrimenti non sarà possibile stabilire la connessione. Nome descrittivo Un nome opzionale che viene visualizzato sul dispositivo oltre all’APN. Server proxy e porta L’indirizzo e la porta del server HTTP utilizzato per il traffico web. Nome utente, Password utente Un nome utente e una password per la connessione all’APN. Server Il server del gateway WAP MMSC Il Centro servizi di messaggistica multimediale (MMSC). 63 Sophos Mobile Control Impostazione/campo Descrizione Server proxy e porta MMS L’indirizzo e la porta del server HTTP utilizzato per comunicare con l’MMSC. Mobile Country Code (MCC), Mobile Network Code (MNC) L’MCC e l’MNC utilizzati per specificare l’operatore. Tipo di autenticazione Il metodo di autenticazione per le connessioni PPP. Tipo di APN I tipi di connessione dati per i quali viene utilizzato l’APN. L’APN viene utilizzato solamente per questo operatore. Per utilizzare l’APN per tutti i tipi di dati, inserire * oppure lasciare il campo vuoto. Connessione La Tecnologia di accesso radio (Radio Access Technology, RAT) utilizzata dall’operatore. Protocollo Il protocollo di rete supportato dall’operatore. Protocollo roaming Il protocollo di rete supportato dall’operatore quando il dispositivo si trova in roaming. Utilizzare come APN predefinito Selezionando questa opzione, i dispositivi utilizzeranno questo APN per impostazione predefinita. Se questa opzione viene selezionata per più di una configurazione Access Point Name, verrà visualizzato un errore. Modalità tutto schermo Nella configurazione della Modalità tutto schermo vengono definite le limitazioni da applicare ai dispositivi quando vengono impostati in modalità tutto schermo. È possibile aggiungere a un profilo solo una configurazione per la Modalità tutto schermo. Cliccare su Seleziona origine e successivamente procedere in uno dei seguenti modi per specificare un’app da avviare quando il profilo viene trasferito su un dispositivo: 64 ■ Selezionare Personalizza e inserire un identificatore app. ■ Selezionare Elenco app, e successivamente selezionare un’app dall’elenco Identificatore app. L’elenco contiene tutte le app che sono state precedentemente configurate nella pagina App. Vedere Aggiungi app a pagina 132. ■ Selezionare Nessuno per configurare la modalità tutto schermo senza specificare un’app. Le limitazioni per la modalità tutto schermo verranno applicate al dispositivo, ma senza avviare alcuna app. Guida in linea per amministratori Sotto Opzioni, deselezionare le funzionalità hardware e software che si desidera disattivare in modalità tutto schermo. Quando il profilo viene trasferito su un dispositivo, verrà avviata l’app specificata. Tuttavia, se non è stata deselezionata alcuna delle funzionalità hardware o software disponibili, l’utente sarà in grado di uscire dall’app e adoperare il dispositivo come di consueto. Per impostare il dispositivo su una vera e propria modalità tutto schermo, occorre deselezionare come minimo Consenti pulsante Home e Consenti task manager. Nota: ■ L’app specificata deve essere installata nel dispositivo, altrimenti le operazioni di trasferimento rimarranno nello stato Non completato sino a quando viene installata l’app. Per installare l’app, creare un bundle delle operazioni contenente ad es. un’operazione Installa app, e trasferirlo sui dispositivi. ■ Se si desidera specificare un’app per i dispositivi Samsung SAFE, verificare che sia un’app di avvio. Questo tipo di app offre la possibilità di utilizzare un desktop alternativo per Android. 13.1.2 Configurazioni disponibili per i criteri del contenitore Sophos Questi criteri si riferiscono alle app contenitore Sophos Secure Workspace e Sophos Secure Email. Generale Le impostazioni in una configurazione di tipo Generale vengono applicate a tutte le app del contenitore, se applicabili. Impostazione/campo Descrizione Attiva password della app Gli utenti devono inserire una password aggiuntiva prima di poter avviare un'app contenitore. Tale password deve essere definita al primo avvio dell'app contenitore, dopo l'applicazione delle impostazioni di configurazione. Questa password viene applicata a tutte le app contenitore. Complessità della password In questo campo è possibile definire i requisiti di complessità minimi da applicare alla password della app. Password più complesse e quindi più sicure sono sempre consentite. Le password (formate da un insieme cifre e caratteri alfabetici) vengono comunemente considerate più sicure rispetto a PIN (formati solo da cifre). È possibile selezionare le seguenti impostazioni: Qualsiasi: non è applicata alcuna restrizione alle password PIN di 4 cifre PIN di 6 cifre Password di 4 caratteri Password di 6 caratteri Password di 8 caratteri 65 Sophos Mobile Control Impostazione/campo Descrizione Password di 10 caratteri Durata della password in giorni In questo campo occorre specificare per quanti giorni possa essere utilizzata una password prima che venga richiesto agli utenti di modificarla. Tentativi di accesso non riusciti In questo campo viene specificato il numero tollerato di tentativi prima del blocco di accesso non riusciti, prima che le app contenitore vengano bloccate. Una volta bloccate le app, lo sblocco dovrà essere effettuato da un amministratore, oppure, se consentito, dagli utenti attraverso il portale self-service. Consenti impronta digitale Selezionare questa casella di spunta per consentire agli utenti di adoperare le proprie impronte digitali per sbloccare l'app. Periodo di tolleranza in minuti In questo campo viene definito il periodo di tempo entro cui non è richiesta la definizione di alcuna password dell'app contenitore, se l'app torna a comparire in primo piano. Se il dispositivo è stato bloccato e sbloccato, gli utenti devono sempre inserire la password della app, a prescindere dal periodo di tolleranza. Il periodo di tolleranza è applicabile a tutte le app contenitore. Durante il periodo di tolleranza è anche possibile passare da un'app a un'altra senza dover inserire la password. È possibile scegliere fra 1, 2, 5, 10, 15 minuti. Ultima connessione server In questo campo è possibile definire per quanto tempo gli utenti possano utilizzare l’app Sophos Secure Workspace o l’app Sophos Secure Email senza connettersi al server di Sophos Mobile Control. Quando l’app è attiva, ma non riesce a connettersi al server entro il periodo di tempo definito, viene visualizzata una schermata di blocco in cui si trova il pulsante Prova di nuovo. L'unico modo a disposizione degli utenti per sbloccare l'app sarà toccare Prova di nuovo nella schermata di blocco. L’app effettuerà quindi un tentativo di connessione al server. Se sarà possibile stabilire una connessione col server, l'app verrà sbloccata. In caso contrario verrà negato l'accesso. È possibile definire le seguenti impostazioni: In accesso: la connessione al server è sempre richiesta e l'app viene bloccata ogniqualvolta sia impossibile contattare il server. 1 ora: È necessario stabilire una connessione al server quando l'app viene attivata almeno un'ora dopo l'ultimo tentativo riuscito di connessione al server. 3 ore 6 ore 12 ore 1 giorno 66 Guida in linea per amministratori Impostazione/campo Descrizione 3 giorni 1 settimana nessuna: non è richiesto alcun contatto regolare col server. L'accesso off-line viene avviato senza connessione server In questo campo è possibile definire la frequenza con cui gli utenti possono avviare Sophos Secure Workspace senza connessione server. Nota: Questa impostazione richiede l'abilitazione della funzione relativa alla password della app. Il conteggio viene incrementato ogniqualvolta gli utenti inseriscano la password dell'app Sophos Secure Workspace. Se il conteggio supera il numero prefissato, viene visualizzata la stessa schermata di blocco descritta per l'impostazione Ultima connessione server. Se viene stabilita una connessione col server di Sophos Mobile Control, il conteggio verrà azzerato. Illimitato: non è richiesta alcuna connessione al server. 0: impossibile avviare l'app senza connessione al server. 1: dopo un primo avvio riuscito dell'app, è necessario stabilire una connessione al server. 3 5 10 20 Root consentito Le app contenitore avranno l’autorizzazione di eseguirsi sui dispositivi che sono stati sottoposti a rooting. Vincoli per l'uso dell'app Con questa opzione è possibile definire vincoli relativi all'uso delle app contenitore Sophos. Cliccare su Aggiungi per inserire vincoli. Recinti virtuali Consente di aggiungere latitudine e longitudine, e un raggio all'interno del quale è consentito utilizzare le app contenitore Sophos. Intervalli temporali Consente di specificare un orario di inizio e un orario di fine, entro i quali è consentito utilizzare le app contenitore Sophos. È anche possibile specificare i giorni della settimana in cui sia consentito adoperare le app. 67 Sophos Mobile Control Impostazione/campo Descrizione Recinti Wi-Fi Consente di specificare le reti Wi-Fi a cui i dispositivi devono essere connessi per poter utilizzare le app contenitore Sophos. Il dispositivo deve essere connesso a una delle reti elencate. Non sarà sufficiente poter visualizzare una rete in particolare nell’elenco di reti disponibili. Importante: Si consiglia di non utilizzare i recinti Wi-Fi come unico meccanismo di sicurezza, in quanto i nomi delle rete Wi-Fi sono facilmente soggetti a spoofing. E-mail aziendale Impostazione/campo Descrizione Host Exchange ActiveSync Inserire le informazioni relative all'indirizzo del server di Exchange ActiveSync dell'azienda (ad esempio mail.azienda.com). Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_%, che il server sostituirà con il nome utente effettivo, se il dispositivo a cui viene assegnato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_%, che il server sostituirà con l'indirizzo e-mail effettivo, se il dispositivo a cui viene assegnato il profilo ha stabilito un collegamento LDAP. Dominio Inserire il dominio del server di Exchange dell'azienda (ad esempio EXCHANGE2013). E-mail di contatto del Supporto Definire l'indirizzo e-mail che deve essere utilizzato come indirizzo e-mail per l'opzione "Contatta il supporto". Mostra impostazioni notifica Questa opzione controlla la visualizzazione delle notifiche e-mail e dei promemoria eventi nell’app Sophos Secure Email. Quando questa opzione è selezionata: L’utente sarà in grado di abilitare o disattivare le notifiche e-mail. I promemoria eventi saranno abilitati. Quando questa opzione è deselezionata: Le notifiche e-mail e i promemoria eventi saranno disattivati. Nota: Se si ritiene che le notifiche che vengono visualizzate su un dispositivo possano costituire un rischio di sicurezza in caso di furto o smarrimento, potrebbe essere preferibile disattivare le notifiche. 68 Guida in linea per amministratori Impostazione/campo Descrizione Apri allegati Selezionando questa opzione, si attiverà la visualizzazione di un pulsante Salva e un pulsante Visualizza sotto l'allegato. Salva inoltrerà l'allegato a Sophos Secure Workspace, Visualizza aprirà il file in Sophos Secure Email. Qualora Sophos Secure Email non fosse in grado di aprire il file, gli utenti potranno selezionare dove inoltrare il file in questione. Se questa opzione è deselezionata, l'allegato non potrà essere né aperto, né inoltrato ad altre app. Documenti aziendali Configura provider di archiviazione Impostazioni Archiviazione locale Per tutti i provider di archiviazione è possibile definire separatamente le seguenti impostazioni: Consente agli utenti di archiviare i file in Sophos Secure Workspace e di spostare Abilita se selezionata, il provider di archiviazione è visibile i file dall'archivio locale all'archivio nella app. in-the-cloud. Off-line se selezionata, gli utenti possono aggiungere file dal Dropbox provider di archiviazione all'elenco Preferiti della app per consultazione off-line. Google Drive MagentaCLOUD OneDrive Box Egnyte WebDAV 1 WebDAV 2 Apri con (cifrato): se attivata, gli utenti possono inviare o trasferire file cifrati ad altre app tramite la funzione Apri in. Apri con (testo in chiaro): se attivata, gli utenti possono inviare o trasferire file in chiaro ad altre app tramite la funzione Apri in. Appunti: se attivata, gli appunti sono abilitati nella vista documenti delle app in modo tale che gli utenti possano copiare parti di un documento e incollarle in altre app. WebDAV 3 I provider WebDAV vengono considerati provider aziendali, per cui è possibile definire centralmente sia le credenziali server che utente. Tali credenziali non potranno essere modificate dagli utenti. Le impostazioni relative alle credenziali non definite centralmente potranno essere scelte dagli utenti, all'interno della schermata delle credenziali del provider dell'app. È per esempio possibile definire centralmente l'account server e utente da utilizzare, ma è al tempo stesso possibile non definire il campo relativo alla password. Gli utenti dovranno essere a conoscenza della password per poter accedere al provider di archiviazione. Server In questo campo inserire: L'URL della cartella principale nel server WebDAV di Documenti aziendali. L'URL della cartella principale nel server di WebDAV. 69 Sophos Mobile Control Configura provider di archiviazione Impostazioni Utilizzare il seguente formato: https://server.azienda.com Verrà supportato solamente il protocollo https. Nome utente In questo campo si richiede di inserire il nome utente relativo a un determinato server. È anche possibile adoperare la variabile %_USERNAME_%. Password In questo campo si richiede di inserire la password relativa a un determinato account. Carica cartella In questo campo si richiede di inserire la cartella di upload relativa a un determinato account. Abilita documenti Abilita la funzionalità Documenti per distribuire in modo sicuro i documenti aziendali. Complessità della passphrase In questo campo è possibile definire i requisiti minimi di complessità da applicare alle passphrase per le chiavi di cifratura. Passphrase più complesse e quindi più sicure sono sempre consentite. È possibile selezionare le seguenti impostazioni: Password di 4 caratteri Password di 6 caratteri Password di 8 caratteri Password di 10 caratteri Browser aziendale Il Browser aziendale consente di accedere in maniera sicura alle pagine intranet aziendali, e ad altre pagine esplicitamente autorizzate. È possibile definire un set di segnalibri, ad es. domini accessibili dal browser aziendale. Nella configurazione di Browser aziendale, cliccare su Aggiungi dominio o Aggiungi segnalibro. Impostazione/campo descrizione Aggiungi dominio URL 70 Inserire in questo campo il dominio che si desidera autorizzare. Guida in linea per amministratori Impostazione/campo descrizione Consenti copia/incolla Spuntando questa casella si consentirà agli utenti di copiare e incollare testo dal Browser aziendale ad altre app. Consenti apri con Agli utenti verrà consentito di scaricare allegati, o di inoltrarli ad altre app. Consenti salva password Agli utenti verrà permesso di salvare le proprie password nel Browser aziendale. Aggiungi segnalibro Nota: Il segnalibro verrà aggiunto al dominio specificato nell'URL. I domini verranno creati automaticamente se non sono già esistenti. Nome Inserire in questo campo il nome del segnalibro. URL Inserire in questo campo l'URL del segnalibro. Certificato client Con questa configurazione, è possibile caricare un certificato client nei dispositivi. È possibile aggiungere più configurazioni di Certificato client. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Inserire la Password relativa al certificato selezionato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. SCEP Le configurazioni di SCEP in un criterio contenitore Sophos vengono create nello stesso modo dei profili del dispositivo. Consultare le sezione Creazione di un profilo del dispositivo SCEP per Android a pagina 38. 71 Sophos Mobile Control 13.1.3 Configurazioni disponibili per i criteri di Mobile Security Nota: Le impostazioni supportate dipendono dagli API specifici del vendor e dalla versione Android in esecuzione nei singoli dispositivi. A seconda del tipo di dispositivo dell'utente finale, alcune delle impostazioni disponibili potrebbero essere irrilevanti. Nella configurazione individuale, la console web visualizza etichette che indicano se un'impostazione in particolare sia supportata da una determinata versione di Android, o solo per dispositivi specifici (aventi ad esempio il plugin di Samsung Safe SAFEv2+) Antivirus Consultare la sezione Configurazione delle impostazioni antivirus per Sophos Mobile Security a pagina 167. Filtraggio web Consultare la sezione Configurazione delle impostazioni di filtraggio web per Sophos Mobile Security a pagina 169. 13.1.4 Configurazioni disponibili per i profili del contenitore KNOX Nota: Le impostazioni supportate dipendono dagli API specifici del vendor e dalla versione Android in esecuzione nei singoli dispositivi. A seconda del tipo di dispositivo dell'utente finale, alcune delle impostazioni disponibili potrebbero essere irrilevanti. Nella configurazione individuale, la console web visualizza etichette che indicano se un'impostazione in particolare sia supportata da una determinata versione di Android, o solo per dispositivi specifici (aventi ad esempio il plugin di Samsung Safe SAFEv2+) Criteri password In questa configurazione, è possibile definire le regole per le password da applicare ai dispositivi. È possibile aggiungere solo una configurazione per i Criteri password nel profilo. Quando si seleziona la configurazione Criteri password, viene visualizzato il campo Tipo di password. In questo campo, scegliere il tipo di password che si desidera definire: ■ Tutti Gli utenti dovranno impostare una password sui propri dispositivi. Non sono però presenti restrizioni o richiesti requisiti specifici riguardanti le password. ■ Alfabetico ■ PIN ■ Alfanumerico ■ Complesso Se si seleziona l'opzione Alfabetico, PIN o Alfanumerico, vengono visualizzati i seguenti campi: 72 Guida in linea per amministratori Impostazione/campo Descrizione Lunghezza minima della password Indica il numero minimo di caratteri per password. Tempo di inattività prima che venga richiesto di inserire la password In questo campo è possibile indicare l'intervallo di tempo (in minuti) entro il quale, se il dispositivo non è stato utilizzato, verrà bloccato. Il dispositivo può essere sbloccato inserendo la password. Durata massima della password in giorni Richiede agli utenti di modificare la password entro l'intervallo specificato (in giorni). Numero massimo di tentativi non riusciti prima In questo campo è possibile indicare il numero di cancellare i dati dal dispositivo massimo di tentativi non riusciti di inserimento della password prima che venga effettuata la formattazione del dispositivo. Lunghezza minima della cronologia In questo campo, è possibile indicare quante password precedenti memorizzare e confrontare con quelle nuove. Quando l'utente definisce una nuova password, questa non viene accettata se corrisponde a una precedente. Range valore: da 1 a 5 o nessuno. Se si seleziona Complesso, oltre ai campi relativi agli altri tipi di password vengono visualizzati i seguenti campi: Impostazione/campo Descrizione Numero minimo di lettere Indica il numero minimo di lettere per password. Numero minimo di lettere in minuscolo Indica il numero minimo di lettere in minuscolo per password. Numero minimo di lettere in maiuscolo Indica il numero minimo di lettere in maiuscolo per password. Numero minimo caratteri non alfabetici Indica il numero minimo di caratteri non alfabetici (per es. & o !) per password. Numero minimo di numeri Indica il numero minimo di numeri per password. Numero minimo caratteri speciali Indica il numero minimo di caratteri speciali (per es. !"§$%&/()=,.-;:_@<>) per password. 73 Sophos Mobile Control Restrizioni In questa configurazione, è possibile definire le restrizioni per i dispositivi. È possibile aggiungere solo una configurazione per le Restrizioni del profilo. Impostazione/campo Consenti acquisizione schermo Consenti fotocamera Consenti Appunti Consenti elenco condivisioni Consenti microfono Imponi utilizzo della tastiera sicura Consenti aggiunta di nuovi account e-mail App consentite È possibile configurare il contenitore in modo da porre limiti all'installazione manuale delle app, aggiungendo un elenco di app che sono consentite sul dispositivo. Selezionare il gruppo di app contenente le app che si desidera autorizzare per l'installazione. Per informazioni sulla creazione di gruppi di app, vedere la sezione Utilizzo dei gruppi di app a pagina 141. Le installazioni inizializzate da server sono autorizzate automaticamente. Exchange ActiveSync In questa configurazione, è possibile definire le impostazioni utente per Microsoft Exchange Server. È possibile aggiungere più configurazioni di Exchange ActiveSync. Impostazione/campo Descrizione Nome account Inserire il nome dell'account in questo campo. Host Exchange ActiveSync Inserire l'indirizzo del Microsoft Exchange Server. Nota: Se si utilizza SMC EAS proxy, inserire l'URL del proxy/server SMC. 74 Dominio Inserire il dominio dell'account. Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_% e il Guida in linea per amministratori Impostazione/campo Descrizione server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Mittente Inserire il nome del mittente dell'account. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Password Inserire la password dell'account in questo campo. Periodo di sincronizzazione Indicare in questo campo l'intervallo di tempo per la sincronizzazione delle e-mail.Verranno sincronizzate con la casella di posta in entrata del dispositivo mobile solamente le e-mail ricevute durante l'intervallo specificato. Ad esempio, selezionando Una settimana, verranno sincronizzate le e-mail ricevute da una settimana fa in poi. È possibile selezionare i seguenti periodi di sincronizzazione: Un giorno Tre giorni Una settimana Due settimane Un mese Intervallo di sincronizzazione In questo campo è possibile selezionare l'intervallo fra i processi di sincronizzazione delle e-mail: Mai 5 minuti 10 minuti 15 minuti 30 minuti 1 ora SSL Verificare che questa opzione sia selezionata, per poter inviare tutte le comunicazioni tramite SSL (Secure Socket Layer). 75 Sophos Mobile Control Impostazione/campo Descrizione Account predefinito L’account verrà usato come account e-mail predefinito. Consenti tutti i certificati Autorizza tutti i certificati nei processi di trasferimento dal server e-mail. Consenti inoltro e-mail Consenti inoltro e-mail. Consenti utilizzo di formato HTML Consente l'utilizzo del formato HTML nelle e-mail. Dimensioni massime degli allegati in MB Selezionare il numero massimo di e-mail dall’elenco (1, 3, 5, 10, Illimitato). Tipi di contenuto della sincronizzazione Selezionare i tipi di contenuto da sincronizzare. Note Informazioni di contatto Calendario Operazioni 13.2 Supporto di Samsung KNOX È possibile gestire i dispositivi Samsung KNOX utilizzando la console web di Sophos Mobile Control. Nota: Per gestire in modo efficace i dispositivi Samsung KNOX, è necessario inserire una Chiave di licenza KNOX avanzata Samsung nella vista Installazione del sistema di Sophos Mobile Control. Sotto Profili, criteri, è possibile creare un profilo contenente le impostazioni relative al contenitore KNOX. Sono disponibili le seguenti configurazioni: ■ Criteri password ■ Restrizioni ■ Host Exchange ActiveSync Per creare un profilo per un dispositivo KNOX, consultare la sezione Creazione di profili e criteri per Android a pagina 51. È possibile caricare o fornire link ad app che possono poi essere installate in un contenitore KNOX. Vedere Aggiungi app a pagina 132. Per gestire i dispositivi Knox è possibile creare bundle delle operazioni in cui raccogliere le seguenti operazioni: 76 ■ Contenitore KNOX: blocca ■ Contenitore KNOX: sblocca ■ Contenitore KNOX: reimposta password ■ Contenitore KNOX: rimuovi tutte le impostazioni Guida in linea per amministratori Per creare un bundle delle operazioni da applicare ai dispositivi KNOX, consultare la sezione Creazione di bundle delle operazioni a pagina 129. 13.3 Creazione di profili e criteri per iOS Per iOS è possibile creare: ■ Profili del dispositivo ■ Criteri del contenitore Sophos Inoltre, Sophos Mobile Control offre l'opzione di importare i profili creati con Apple Configurator nella console web. 13.3.1 Creazione di profili e criteri per iOS 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e quindi su Apple iOS. Verrà visualizzata la pagina Profili e criteri. 2. Cliccare su Crea e selezionare Profilo del dispositivo o Criterio del contenitore Sophos. Verrà visualizzata la pagina Modifica profilo oppure Modifica criterio. 3. Inserire un Nome, la propria Azienda (il campo viene precompilato con i nomi dei propri utenti) e una Descrizione. Il campo relativo alla Versione è opzionale. 4. Nel campo L'utente può rimuovere il profilo, è possibile scegliere se l'utente possa o meno rimuovere il profilo dal proprio dispositivo: ■ ■ Sempre Con autenticazione Se si seleziona questa opzione, il campo Password di autenticazione viene visualizzato sotto il campo L'utente può rimuovere il profilo. Inserire la password necessaria per poter rimuovere il profilo. Per consentire agli utenti di rimuovere il profilo, fornire loro la password necessaria. ■ Mai 5. Nel campo Rimuovi automaticamente il, è possibile indicare una data per la rimozione automatica del profilo dai dispositivi degli utenti. Il profilo verrà rimosso alle ore 23:00 della data selezionata. 6. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. Nota: Il campo Sistemi operativi mostra tutte le versioni di iOS al momento disponibili nel sistema. Non tutte le impostazioni di configurazione sono supportate dalle singole versioni di iOS. Se si selezionano tutte le versioni presenti sotto Sistemi operativi, determinate impostazioni potrebbero non avere alcun effetto, a seconda della versione di iOS presente nel dispositivo dell'utente finale. 7. Cliccare su Aggiungi configurazione. Verrà visualizzata la pagina Configurazioni disponibili. 8. Selezionare la configurazione che si desidera aggiungere, quindi cliccare su Avanti. Verrà visualizzata la pagina dedicata alla configurazione. 77 Sophos Mobile Control 9. Indicare le impostazioni necessarie. Per un elenco dettagliato delle configurazioni e impostazioni disponibili, consultare la sezione Configurazioni disponibili per i profili iOS a pagina 78. 10. Per salvare le modifiche apportate cliccare su Applica. La configurazione verrà visualizzata nella pagina Modifica profilo, sotto Configurazioni. 11. Se lo si desidera, aggiungere ulteriori configurazioni. 12. Una volta aggiunte tutte le configurazioni necessarie cliccare su Salva. Il profilo è ora disponibile per il trasferimento e verrà visualizzato nella pagina Profili e criteri per Apple iOS. 13.3.1.1 Configurazioni disponibili per i profili iOS Le seguenti configurazioni sono disponibili per i profili iOS nella pagina Configurazioni disponibili, quando si crea o si modifica un profilo. Alcune configurazioni possono essere aggiunte solo una volta nel profilo, mentre altre possono essere utilizzate più volte. Nota: Le impostazioni supportate possono dipendere dalla versione del sistema operativo, oppure da altre funzionalità del dispositivo. Se una configurazione, oppure un’impostazione all’interno di una configurazione, è supportata solamente per dispositivi specifici, l’ambito di compatibilità viene indicato da un'etichetta blu. Criteri password In questa configurazione, è possibile definire le regole per le password da applicare ai dispositivi. È possibile aggiungere solo una configurazione per i Criteri password nel profilo. 78 Impostazione/campo Descrizione Consenti valore semplice Gli utenti saranno autorizzati a utilizzare caratteri sequenziali o ripetuti nelle password, per esempio 1111 o abcde. Richiedi valore alfanumerico Le password devono contenere almeno una lettera o una cifra. Lunghezza minima della password Indica il numero minimo di caratteri per password. Numero minimo caratteri complessi Indica il numero minimo di caratteri non alfabetici (per es. & o !) per password. Durata massima della password in giorni Richiede agli utenti di modificare la password entro l'intervallo specificato. Range valore: da 0 (non è richiesto di cambiare la password) a 730 giorni. Blocco automatico massimo (in minuti) In questo campo è possibile indicare il valore massimo configurabile nel dispositivo. Il Blocco automatico consente di impostare l'intervallo di tempo (in minuti) entro il quale, se il dispositivo non è stato utilizzato, verrà bloccato. Guida in linea per amministratori Impostazione/campo Descrizione Cronologia password In questo campo, è possibile indicare quante password precedenti memorizzare e confrontare con quelle nuove. Quando l'utente definisce una nuova password, questa non viene accettata se corrisponde a una precedente. Range valore: da 1 a 50 o 0 (nessuna cronologia password). Periodo di tolleranza massimo per il blocco del In questo campo è possibile indicare il valore dispositivo massimo configurabile nel dispositivo. Il periodo di tolleranza per il blocco del dispositivo indica per quanto tempo il dispositivo può restare sbloccato senza richiedere l'inserimento di una password. Se si seleziona l'opzione Nessuno, l'utente può scegliere uno qualsiasi degli intervalli disponibili. Se si seleziona l'opzione Immediatamente, gli utenti dovranno inserire una password tutte le volte desiderino sbloccare i dispositivi. Numero massimo di tentativi non riusciti prima In questo campo è possibile indicare il numero di cancellare i dati dal dispositivo massimo di tentativi non riusciti di inserimento della password prima che venga effettuata la formattazione del dispositivo. Dopo sei tentativi non riusciti, viene imposto un ritardo prima di poter inserire nuovamente la password. Il tempo di attesa aumenta ad ogni tentativo di accesso non riuscito. Dopo l'ultimo tentativo non riuscito, tutti i dati e le impostazioni vengono rimossi dal dispositivo. Il ritardo inizia dopo il sesto tentativo non riuscito. Se questo valore è impostato su 6 o su un numero inferiore, non verrà applicato alcun ritardo e i dati del dispositivo verranno rimossi una volta superato il numero stabilito di tentativi. Restrizioni In questa configurazione, è possibile definire le restrizioni per i dispositivi. È possibile aggiungere solo una configurazione per le Restrizioni del profilo. Impostazione/campo Descrizione Dispositivo Consenti l'installazione di app Se si disattiva questa opzione, l'App Store verrà disabilitato e la relativa icona rimossa dalla schermata principale. Gli utenti non possono installare e aggiornare le app tramite App Store o iTunes. 79 Sophos Mobile Control Impostazione/campo Descrizione Consenti installazione delle app dall'interfaccia utente del dispositivo Consenti utilizzo della fotocamera Se si disattiva questa opzione, le macchine fotografiche saranno disabilitate nel dispositivo e l'icona della macchina fotografica verrà rimossa dalla schermata principale. Gli utenti non potranno fare foto, registrare video o utilizzare FaceTime. Consenti FaceTime Se si disattiva questa opzione, gli utenti non potranno effettuare o ricevere video chiamate tramite FaceTime. Consenti acquisizione schermo Se questa opzione viene disattivata, gli utenti non potranno catturare nessuna immagine dello schermo. Consenti la sincronizzazione automatica Se si disattiva questa opzione, i dispositivi in roaming durante il roaming verranno sincronizzati solo quando l'utente accede a un account. Consenti Siri Se si disattiva questa opzione, gli utenti non potranno utilizzare Siri, comandi vocali o programmi di dettatura. Consenti l'utilizzo di Siri mentre il dispositivo è bloccato Se si disattiva questa opzione, gli utenti devono sbloccare i dispositivi inserendo la propria password prima di poter utilizzare Siri. Consenti contenuto domande a Siri dal Web Se si disattiva questa opzione, Siri non recupererà i contenuti dal Web. Forza il filtro oscenità di Siri Se viene disattivata questa opzione, il filtro oscenità di Siri non viene attivato sul dispositivo. Consenti riconoscimento vocale Se questa opzione viene disattivata, gli utenti non potranno contattare un numero telefonico tramite comandi vocali. Consenti Passbook mentre il dispositivo Se si disattiva questa opzione, il dispositivo non mostra è bloccato alcuna notifica Passbook quando bloccato. Consenti acquisti In-App Se viene disattivata questa opzione, gli utenti non potranno acquistare app. Obbliga gli utenti ad inserire la password Gli utenti devono inserire la propria password ID Apple dello store per tutti gli acquisti effettuati per effettuare acquisti. Solitamente è presente un periodo di tolleranza dopo avere effettuato un acquisto e prima che gli utenti debbano effettuare l'autenticazione per acquisti successivi. 80 Guida in linea per amministratori Impostazione/campo Descrizione Consenti i giochi con più giocatori Se si disattiva questa opzione, gli utenti non potranno utilizzare i giochi multiplayer nel Game Center. Consenti Game Center Se questa opzione viene disattivata, il Game Center non potrà essere utilizzato sul dispositivo. Consenti di aggiungere amici in Game Center Se si disattiva questa opzione, gli utenti non potranno aggiungere amici in Game Center. Consenti modifiche a Trova i miei amici Se viene disattivata questa opzione, non sarà possibile apportare modifiche all'app Trova i miei amici. Consenti abbinamento host Se si disattiva questa opzione, l'abbinamento host sarà disabilitato eccezion fatta per il supervision host. Se non è stato configurato alcun certificato per supervision host, tutti gli abbinamenti host saranno disabilitati. Consenti associazione con Apple Watch Consenti AirDrop Se viene disattivata questa opzione, nel dispositivo non è consentita la condivisione dei contenuti tramite AirDrop. Consenti Control Center nella schermata Se viene disattivata questa opzione, le impostazioni non di blocco possono essere gestite utilizzando il Control Center quando lo schermo del dispositivo è bloccato. Consenti Notification Center nella schermata di blocco Se viene disattivata questa opzione, il Notification Center non è disponibile quando lo schermo del dispositivo è bloccato. Consenti vista della giornata corrente nella schermata di blocco Se viene disattivata questa opzione, quando lo schermo è bloccato la vista della giornata corrente non è disponibile. Consenti news Consenti aggiornamenti PKI over-the-air Se viene disattivata questa opzione, gli aggiornamenti over-the-air di PKI non sono disponibili. Consenti iBooks Store Se viene disattivata questa opzione, l'utente non può acquistare libri utilizzando iBooks. Consenti contenuti sessuali espliciti in iBooks Store Se viene disattivata questa opzione, i contenuti sessuali espliciti in iBooks Store non saranno disponibili. Consenti all'utente di installare profili di Se viene disattivata questa opzione, gli utenti non configurazione possono installare profili di installazione. 81 Sophos Mobile Control Impostazione/campo Descrizione Consenti iMessage Se viene disattivata questa opzione, gli utenti non possono utilizzare iMessage per gli SMS. Consenti rimozione app Se viene disattivata questa opzione, gli utenti non possono rimuovere le app del dispositivo. Consenti cancellazione di tutti i contenuti e le impostazioni Consenti risultati da Internet in Spotlight Consenti abilitazione dell'opzione relativa alle restrizioni Consenti Handoff Consenti modifica del nome del dispositivo Consenti modifica dello sfondo Consenti tasti di scelta rapida Consenti download automatico app Consenti Apple Music Se viene disattivata questa opzione, gli utenti non potranno accedere alla libreria di Apple Music. Consenti Apple Music Radio Se viene disattivata questa opzione, gli utenti non potranno accedere ad Apple Music Radio. Dati aziendali Consenti la condivisione documenti solo Grazie a questa impostazione possono essere applicate fra app/account gestiti restrizioni sull'apertura di documenti tramite app/account (per es. account e-mail aziendale) gestite da Sophos Mobile Control. Per esempio: Se viene selezionata questa opzione e gli utenti dispongono di un account e-mail gestito da Sophos Mobile Control e di app gestite da Sophos Mobile Control nei propri dispositivi, gli allegati da account e-mail gestiti potranno essere aperti solo da app gestite. In questo modo sarà possibile evitare che documenti aziendali possano essere aperti da app non gestite. Consenti la condivise documenti solo fra app/account non gestiti 82 Grazie a questa impostazione possono essere applicate restrizioni sull'apertura di documenti tramite app/account (per es. account e-mail personale) non gestite da Sophos Mobile Control. Per esempio: Se viene selezionata questa Guida in linea per amministratori Impostazione/campo Descrizione opzione e gli utenti dispongono di un account e-mail e di app non gestiti da Sophos Mobile Control nei propri dispositivi, gli allegati inviati da account e-mail non gestiti potranno essere aperti solo dalle app non gestite. In questo modo sarà possibile evitare che documenti personali possano essere aperti da app gestite. Forza la modalità non gestita per l'uso di documenti AirDrop Consenti sincronizzazione con iCloud per le app gestite Consenti backup dei libri aziendali Consenti sincronizzazione di note ed evidenziazioni di libri aziendali Applicazioni Consenti l'utilizzo di iTunes Store Se si disattiva questa opzione, iTunes Store verrà disabilitato e la relativa icona rimossa dalla schermata principale. Gli utenti non potranno avere anteprime, effettuare acquisti o scaricare contenuti. Consenti l'utilizzo di Safari Se si disattiva questa opzione, il browser Web Safari verrà disabilitato e la relativa icona rimossa dalla schermata principale. Ciò impedirà agli utenti di aprire clip Web. Consenti riempimento automatico Se si disattiva questa opzione, Safari non effettua il riempimento automatico dei moduli Web con informazioni precedentemente inserite. Forza allarmi anti-frode Safari cercherà di impedire agli utenti di visitare siti web identificati come fraudolenti o compromessi. Blocca pop-up Abilita il blocco dei pop-up di Safari. Accetta cookies In questo campo è possibile indicare se si desidera accettare cookies: Sempre Mai Dai siti visitati Consenti modifiche per app all'utilizzo della rete dati Se si disattiva questa opzione, gli utenti non possono modificare l'utilizzo della rete dati per app. 83 Sophos Mobile Control Impostazione/campo Descrizione App consentite / App proibite È possibile aggiungere App consentite e App proibite. Selezionare l'opzione desiderata dal primo elenco, e specificare nel secondo elenco il gruppo di app contenente le app da autorizzare o da vietare. Per informazioni sulla creazione dei gruppi di app, consultare la sezione Utilizzo dei gruppi di app a pagina 141. iCloud Consenti backup Gli utenti potranno effettuare il backup dei propri dispositivi su iCloud. Consenti sincronizzazione documento Gli utenti potranno salvare i documenti su iCloud. Consenti streaming di foto Gli utenti potranno abilitare Photo Stream. Nota: se si installa un profilo di configurazione in cui si limita l'utilizzo di Photo Stream, le foto di Photo Stream verranno rimosse dal dispositivo dell'utente. Le foto non verranno inviate dal rullino a Photo Stream. Se non si dispone di altre copie, tali foto potrebbero essere perduto. Consenti catalogo fotografico cloud Consenti streaming di foto condivise Gli utenti potranno invitare altri utenti a visualizzare i propri stream di foto, e potranno vedere quelli degli altri. Consenti keychain di sincronizzazione Se si disattiva questa opzione, nel dispositivo non sarà consentito l'utilizzo della funzionalità Keychain di iCloud per la sincronizzazione delle password tra dispositivi iOS e OS X diversi. Protezione e privacy Consenti l'invio di dati diagnostici ad Apple Se si disattiva questa opzione, le informazioni diagnostiche di iOS non verranno inviate ad Apple. Consenti all'utente di accettare certificati Se si disattiva questa opzione, agli utenti non verrà TLS non attendibili chiesto se desiderano consentire certificati che non possono essere verificati. Questa impostazione è applicabile a Safari, contatti e-mail e account del calendario. Considera app aziendali come attendibili Consenti modifica della password 84 Guida in linea per amministratori Impostazione/campo Descrizione Consenti modifiche all'account Se viene disattivata questa opzione, è disabilitata la possibilità di apportare modifiche all'account. Il menu Account non è disponibile nel dispositivo. Consenti Touch ID per sbloccare il dispositivo Se si disattiva questa opzione, il dispositivo non può essere sbloccato da Touch ID. Forza Limit Ad-Tracking Non verranno più autorizzate app di raccolta di dati anonimi sugli utenti, utilizzate per le pubblicità mirate. Forza backup cifrati Gli utenti dovranno cifrare i backup su iTunes. Classificazioni del contenuto Autorizza musica e podcast espliciti Se si disattiva questa opzione, nell'iTunes Store vengono nascosti tutti i contenuti musicali e video espliciti. I contenuti espliciti vengono segnalati dai provider dei contenuti (per es. case discografiche) quando inclusi nell'iTunes Store. Impostazioni di roaming/Hotspot In questa configurazione, è possibile definire le impostazioni per il roaming e per hotspot personali. Nota: Gli utenti possono cambiare queste impostazioni in ogni memento. Impostazione/campo Descrizione Abilita roaming voce Se questa impostazione viene disattivata, nel dispositivo viene disabilitato il roaming vocale. Abilita roaming dati Se questa opzione viene disattivata, nel dispositivo viene disabilitato il roaming dei dati. Abilita Hotspot personale Se viene disattivata questa impostazione, il dispositivo non può essere configurato per fungere da hotspot personale. Exchange ActiveSync In questa configurazione, è possibile definire le impostazioni utente per Microsoft Exchange Server. È possibile aggiungere più configurazioni di Exchange ActiveSync. 85 Sophos Mobile Control Impostazione/campo Descrizione Nome account In questo campo si richiede di inserire il nome dell'account di Exchange ActiveSync. Host Exchange ActiveSync In questo campo si richiede di inserire il Microsoft Exchange Server. Nota: Se si utilizza SMC EAS proxy, inserire l'URL del server proxy di SMC. Dominio Inserire il dominio del proprio ambiente in questo campo. È comunque possibile lasciare vuoto questo campo. Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_% e il server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Password Inserire la password dell'account in questo campo. Se si lascia questo campo vuoto, gli utenti dovranno inserire la password nei propri dispositivi. Periodo di sincronizzazione Indicare l'intervallo di tempo per la sincronizzazione delle e-mail. Verranno sincronizzate con la casella di posta in entrata del dispositivo solamente le e-mail appartenenti all'intervallo specificato. Ad esempio, selezionando Una settimana, verranno sincronizzate solamente le e-mail della settimana precedente. È possibile selezionare i seguenti periodi di sincronizzazione: Illimitato Un giorno Tre giorni Una settimana Due settimane Un mese 86 Guida in linea per amministratori Impostazione/campo Descrizione SSL Verificare che questa opzione sia selezionata, per poter inviare tutte le comunicazioni tramite SSL (Secure Socket Layer). Consenti trasferimento L’utente potrà trasferire messaggi e-mail da questo account a un altro. Ciò consente anche agli utenti di utilizzare un account diverso per effettuare azioni di risposta o inoltro dei messaggi provenienti da questo account. Consenti sincronizzazione dell'indirizzo più recente L’account verrà incluso nella sincronizzazione degli indirizzi e-mail usati di recente con altri dispositivi che adoperano iCloud. Utilizza solo in e-mail L’account potrà essere utilizzato solo per inviare messaggi dall’app di posta elettronica. Non potrà essere scelto come account di invio per messaggi creati utilizzando altre app, per esempio Foto o Safari. Certificato di identità In questo campo è possibile scegliere il certificato di identità per la connessione ad ActiveSync. Se non è possibile selezionare nessun certificato, viene visualizzato un messaggio. Wi-Fi In questa configurazione è possibile specificare le impostazioni per la connessione alle reti wireless. È possibile aggiungere più configurazioni Wi-Fi. Impostazione/campo Descrizione SSID Inserire l'ID della rete wireless. Connetti automaticamente Effettua automaticamente la connessione alla rete di destinazione. Rete nascosta La rete di destinazione non sarà né aperta né visibile. Tipo di sicurezza In questo campo è possibile selezionare il tipo di sicurezza della rete wireless: Nessuno WEP WPA/WPA2 Tutti (privati) 87 Sophos Mobile Control Impostazione/campo Descrizione WEP aziendale WPA/WPA2 aziendale Tutti (aziendali) Se si selezionano le impostazioni personalizzate WEP, WPA/WPA2 o Tutti (privati), viene visualizzato il campo Password. Inserire la password richiesta. Se si selezionano le impostazioni aziendali WEP aziendale, WPA/WPA2 aziendale o Tutti (aziendali), vengono visualizzate queste schede: Protocolli, Autenticazione e Attendibile. Nella scheda Protocolli, configurare le seguenti impostazioni: Sotto Tipi di EAP consentiti, specificare i metodi EAP da utilizzare per l'autenticazione. A seconda dei tipi selezionati qui, i valori nel campo Identità interna di questa scheda saranno selezionabili. Sotto EAP-FAST, configurare le impostazioni delle credenziali per l'accesso protetto EAP-FAST. Nella scheda Autenticazione, vengono specificate le impostazioni di autenticazione relative al client: Nel campo Utente, inserire il nome utente per la connessione alla rete wireless. Selezionare Richiedi password per tutte le connessioni, se la password è sottoposta a query per tutte le connessioni e trasferita con l'autenticazione. Nel campo Password, inserire la password richiesta. Nel campo Certificato di identità, scegliere il certificato per la connessione alla rete wireless. Nota: Il certificato da utilizzare deve essere indicato nella configurazione Certificato client . Nel campo Identità esterna, inserire l'ID visibile esternamente (per TTLS, PEAP e EAP-FAST). Nella scheda Attendibile, vengono specificate le impostazioni di autenticazione relative al server: Selezionare i certificati attendibili dall'elenco. Nota: Occorre specificare i certificati in una configurazione Certificato root. Proxy In questo campo è possibile selezionare le impostazioni proxy per la connessione Wi-Fi: Nessuno Manualmente Automatico 88 Guida in linea per amministratori Impostazione/campo Descrizione Se si seleziona Manualmente, vengano visualizzati i campi Server e porta, Autenticazione e Password. Inserire le informazioni proxy richieste. Se si seleziona l'opzione Automatico, viene visualizzato il campo URL server proxy. Inserire l'URL del server proxy: VPN In questa configurazione, è possibile definire le impostazioni VPN per le connessioni di rete. È possibile aggiungere più configurazioni VPN. Impostazione/campo Descrizione Nome connessione In questo campo è necessario inserire il nome della connessione visualizzato nel dispositivo. Tipo di connessione In questo campo selezionare il tipo di connessione: Cisco AnyConnect IPSec (Cisco) F5 Check Point SSL personalizzato Nella pagina VPN vengono visualizzati campi diversi a seconda del tipo di connessione qui selezionato. Identificatore (formato DNS inverso) (tipo di connessione SSL personalizzato) In questo campo inserire l'identificatore personalizzato in formato DNS inverso. Server (tutti i tipi di connessione) In questo campo è necessario inserire il nome host o l'indirizzo IP del server. Account (tutti i tipi di connessione) In questo campo è possibile selezionare l'account utente per l'autenticazione della connessione. Dati personalizzati (tipo di connessione SSL personalizzato) Se il vendor ha specificato proprietà di connessione personalizzate, è possibile inserirle in questo campo. Per immettere una proprietà, cliccare su Aggiungi, e successivamente specificare la Chiave e il Valore della proprietà nella casella di dialogo. Invia tutto il traffico tramite VPN L’intero traffico viene inviato tramite VPN. 89 Sophos Mobile Control Impostazione/campo Descrizione Gruppo (tipo di connessione Cisco AnyConnect) In questo campo è possibile inserire il gruppo richiesto per l'autenticazione della connessione. Autenticazione utente (tipo di connessione Cisco In questo campo è possibile scegliere il tipo di AnyConnect, F5, SSL personalizzato) autenticazione utente per la connessione: Password Se si seleziona questa opzione, il campo Password viene visualizzato sotto il campo Autenticazione utente. Inserire la password per l'autenticazione. Certificato Se si seleziona questa opzione, il campo Certificato viene visualizzato sotto il campo Autenticazione utente. Selezionare un certificato. Autenticazione dispositivo (tipo di connessione In questo campo è possibile scegliere il tipo di IPSec (Cisco)) autenticazione del dispositivo: Chiavi (segreto condiviso)/Nome gruppo Se si seleziona questa opzione, i campi Nome gruppo, Chiavi (segreto condiviso), Utilizza autenticazione ibrida e Richiedi password vengono visualizzati sotto il campo Autenticazione dispositivo. Inserire le informazioni di autenticazione richieste nei campi Nome gruppo e Chiavi (segreto condiviso). Selezionare Utilizza autenticazione ibrida e quindi Richiedi password. Certificato Se si seleziona questa opzione, i campi Certificato e Includi PIN utente vengono visualizzati sotto il campo Autenticazione dispositivo. Nel campo Certificato, selezionare il certificato richiesto. Selezionare Includi PIN utente per includere il PIN utente nell'autenticazione del dispositivo. Proxy (tutti i tipi di connessione) In questo campo è possibile selezionare le impostazioni proxy per la connessione: Nessuno Manualmente Se si seleziona questa opzione, vengano visualizzati i campi Server e porta, Autenticazione e Password. Nel campo Server e porta, inserire un indirizzo e una porta del server proxy validi. Nel campo 90 Guida in linea per amministratori Impostazione/campo Descrizione Autenticazione, inserire il nome utente per la connessione al server proxy. Nel campo Password, inserire la password per la connessione al server proxy. Automatico Se si seleziona questa opzione, viene visualizzato il campo URL server proxy. È possibile inserire in questo campo l'URL del server con impostazioni proxy. Per app VPN In questa configurazione è possibile definire le impostazioni VPN per supportare la funzione Per app VPN di iOS. Con questa funzione, le app possono essere configurate per connettersi automaticamente a una VPN quando vengono avviate. È per esempio possibile verificare che i dati trasmessi da app gestite viaggino via VPN. Dopo aver impostato le configurazioni Per app VPN, è possibile selezionare una configurazione nella pagina Modifica pacchetto di un’applicazione. Consultare la sezione Configurazione per app VPN e impostazioni per app iOS a pagina 139. Impostazione/campo Descrizione Nome connessione In questo campo è necessario inserire il nome della connessione visualizzato nel dispositivo. Tipo di connessione In questo campo selezionare il tipo di connessione: Cisco AnyConnect F5 Check Point SSL personalizzato Nella pagina VPN vengono visualizzati campi diversi a seconda del tipo di connessione qui selezionato. Identificatore (formato DNS inverso) (tipo di connessione SSL personalizzato) In questo campo inserire l'identificatore personalizzato in formato DNS inverso. Server (tutti i tipi di connessione) In questo campo è necessario inserire il nome host o l'indirizzo IP del server. Account (tutti i tipi di connessione) In questo campo è possibile selezionare l'account utente per l'autenticazione della connessione. 91 Sophos Mobile Control Impostazione/campo Descrizione Dati personalizzati (tipo di connessione SSL personalizzato) Se il vendor ha specificato proprietà di connessione personalizzate, è possibile inserirle in questo campo. Per immettere una proprietà, cliccare su Aggiungi, e successivamente specificare la Chiave e il Valore della proprietà nella casella di dialogo. Gruppo (tipo di connessione Cisco AnyConnect) In questo campo è possibile inserire il gruppo richiesto per l'autenticazione della connessione. Invia tutto il traffico tramite VPN L’intero traffico viene inviato tramite VPN. Autenticazione utente (tipo di connessione Cisco In questo campo è possibile scegliere il tipo di AnyConnect, F5, SSL personalizzato) autenticazione utente per la connessione: Password Se si seleziona questa opzione, il campo Password viene visualizzato sotto il campo Autenticazione utente. Inserire la password per l'autenticazione. Certificato Se si seleziona questa opzione, il campo Certificato viene visualizzato sotto il campo Autenticazione utente. Selezionare un certificato. In questo campo è possibile scegliere il tipo di Autenticazione dispositivo (tipo di connessione autenticazione del dispositivo: IPSec (Cisco)) Chiavi (segreto condiviso)/Nome gruppo Se si seleziona questa opzione, i campi Nome gruppo, Chiavi (segreto condiviso), Utilizza autenticazione ibrida e Richiedi password vengono visualizzati sotto il campo Autenticazione dispositivo. Inserire le informazioni di autenticazione richieste nei campi Nome gruppo e Chiavi (segreto condiviso). Selezionare Utilizza autenticazione ibrida e quindi Richiedi password. Certificato Se si seleziona questa opzione, i campi Certificato e Includi PIN utente vengono visualizzati sotto il campo Autenticazione dispositivo. Nel campo Certificato, selezionare il certificato richiesto. Selezionare Includi PIN utente per includere il PIN utente nell'autenticazione del dispositivo. 92 Guida in linea per amministratori Impostazione/campo Descrizione Proxy (tutti i tipi di connessione) In questo campo è possibile selezionare le impostazioni proxy per la connessione: Nessuno Manualmente Se si seleziona questa opzione, vengano visualizzati i campi Server e porta, Autenticazione e Password. Nel campo Server e porta, inserire un indirizzo e una porta del server proxy validi. Nel campo Autenticazione, inserire il nome utente per la connessione al server proxy. Nel campo Password, inserire la password per la connessione al server proxy. Automatico Se si seleziona questa opzione, viene visualizzato il campo URL server proxy. È possibile inserire in questo campo l'URL del server con impostazioni proxy. Domini Safari In questo campo è possibile inserire un elenco di stringhe di dominio. Quando un dominio che trova corrispondenza con una delle stringe di dominio viene aperto in Safari o in un’altra app che adopera il motore di rendering WebKit, la connessione VPN si attiva automaticamente. Utilizzare una nuova riga per ogni stringa di dominio. Il comportamento in caso di corrispondenza alle regole è il seguente: I punti all'inizio e alla fine vengono ignorati. Ad esempio, la stringa .example.com e la stringa example.com trovano corrispondenza con gli stessi domini. Ciascun componente della stringa deve trovare corrispondenza con un intero componente di dominio. Ad esempio, la stringa example.com troverà corrispondenza con il dominio www.example.com, ma non con www.myexample.com. Le stringhe con un solo componente trovano corrispondenza solamente con il dominio specifico in questione. Ad esempio, la stringa example troverà corrispondenza con il dominio example, ma non con www.example.com. 93 Sophos Mobile Control Single Sign-On In questa configurazione, è possibile definire impostazioni di sign-on per app prodotte da terzi. Impostazione/campo Descrizione Nome Un nome leggibile per l'account. Nome principale Kerberos Il nome principale di Kerberos. Se non viene fornito, durante l'installazione del profilo l'utente dovrà scegliere un nome. Area autenticazione Il nome dell'area di autenticazione di Kerberos. Il nome dell'area di autenticazione deve essere indicato con lettere maiuscole. Nella scheda URL, è possibile, se lo si desidera, impostare un elenco di prefissi URL da rispettare se si desidera utilizzare questo account per l'autenticazione di Kerberos tramite HTTP. Se in questo campo non viene specificato alcun prefisso, l'account rispetterà tutti gli URL con protocollo http o https. Nella scheda Identificatori app, è possibile, se lo si desidera, impostare un elenco di identificatori di app autorizzati ad utilizzare questo accesso. Se non viene specificato alcun identificatore di app, l'accesso sarà valido per tutti gli identificatori. Modalità applicazione singola In questa configurazione, è possibile definire le impostazioni per la modalità singola che consente di limitare i dispositivi degli utenti finali all'utilizzo di una singola app evitando così che gli utenti possano passare ad altre app. Impostazione/campo Descrizione Seleziona origine In questo campo è possibile selezionare la fonte della app singola: Selezionando Elenco app, verrà visualizzato l'elenco App, in cui sono incluse tutte le app di iOS a disposizione del cliente. Selezionare l'app desiderata dall'elenco e cliccare su Applica. Se si seleziona l'opzione Personalizza, viene visualizzato il campo Identificatore app. Inserire l'identificatore della app e cliccare su Applica. Opzioni 94 Guida in linea per amministratori Impostazione/campo Descrizione Disabilita touchscreen Disattiva il touchscreen per la modalità applicazione singola. Disabilita rotazione Disattiva la rotazione per la modalità applicazione singola. Disabilita tasti volume Disattiva i tasti volume per la modalità applicazione singola. Disabilita interruttore Suoneria/Silenzioso Disattiva l’interruttore Suoneria/Silenzioso per la modalità applicazione singola. Disabilita il tasto Standby/Riattiva Disattiva il tasto Standby/Riattiva per la modalità applicazione singola. Disabilita blocco automatico Per la modalità applicazione singola, disattiva la funzionalità di blocco automatico che sospende il dispositivo dopo un periodo di inattività. Abilita VoiceOver Abilita VoiceOver per la modalità applicazione singola. Abilita Zoom Abilita la funzionalità di zoom per la modalità applicazione singola. Abilita Inverti colori Abilita la funzionalità di inversione dei colori per la modalità applicazione singola. Abilita AssistiveTouch Abilita AssistiveTouch per la modalità applicazione singola. Abilita Pronuncia selezione Abilita la funzionalità di Pronuncia selezione per la modalità applicazione singola. Abilita Audio mono Abilita la funzionalità Audio mono per la modalità applicazione singola. Opzioni abilitate dall'utente VoiceOver Consente la regolazione di VoiceOver. Zoom Consente la regolazione dello zoom. Inverti colori Consente la regolazione dell’inversione dei colori. AssistiveTouch Consente la regolazione di AssistiveTouch. 95 Sophos Mobile Control Clip Web In questa configurazione, è possibile definire clip Web da aggiungere alla schermata principale dei dispositivi utente. Le clip Web consentono accesso rapido alle pagine web preferite. È anche possibile aggiungere clip Web con un numero telefonico di supporto, in modo tale, per esempio, da poter contattare rapidamente l'helpdesk. È possibile aggiungere più configurazioni di Clip Web. Impostazione/campo Descrizione Descrizione In questo campo è possibile inserire una descrizione per le clip Web. URL In questo campo è possibile inserire l'URL del clip Web. Può essere rimosso. Se si disattiva questa opzione, l'utente non potrà rimuovere la clip Web. Non potrà essere cancellato dal dispositivo, a meno che non venga rimosso il profilo installato. Schermo intero La clip Web vine aperta a pieno schermo nel dispositivo. Una clip Web a pieno schermo apre l'URL come app web. Access Point Name Con questa configurazione, è possibile utilizzare il Nome punto di accesso (APN) del dispositivo e le impostazioni della cella di rete proxy. Queste impostazioni definiscono in che modo i dispositivi si collegano alla rete del vettore. In un dato profilo è possibile aggiungere solo una configurazione per Access Point Name. Nota: Se queste impostazioni non sono corrette, il dispositivo non potrà accedere ai dati utilizzando la rete del vettore. Per annullare le modifiche apportate alle impostazioni, sarà necessario rimuovere il profilo dal dispositivo. Impostazione/campo Descrizione APN L’APN citato dal dispositivo quando apre una connessione GPRS con l’operatore di rete. Deve corrispondere a un APN che viene accettato dall’operatore, altrimenti non sarà possibile stabilire la connessione. Nome utente per punto di accesso In questo campo si richiede di inserire il nome utente del punto di accesso. Nota: iOS supporta nomi utente APN aventi un massimo di 64 caratteri. 96 Guida in linea per amministratori Impostazione/campo Descrizione Password per punto di accesso In questo campo si richiede di inserire la password del punto di accesso. Nota: iOS supporta password APN aventi un massimo di 64 caratteri. Server proxy e porta In questo campo è possibile inserire un indirizzo e una porta del server proxy validi. Filtro contenuto Web In questa configurazione è possibile definire gli URL proibiti e gli URL autorizzati con bookmark. Impostazione/campo Descrizione URL proibiti Selezionare questo campo per definire l'elenco di URL bloccate a cui non è consentito accedere dai dispositivi degli utenti finali. Cliccare su Avanti per visualizzare la pagina Scegli il tipo di filtro per contenuti web. In questa pagina è possibile aggiungere URL individuali. Utilizzare una nuova riga per ogni URL. URL con bookmark autorizzati Selezionare questo campo per definire gli URL autorizzati con bookmark da aggiungere al browser Safari nei dispositivi degli utenti finali. Tutti gli altri siti vengono bloccati. Cliccare su Avanti per visualizzare la pagina Filtro contenuto Web. Cliccare su Aggiungi per aggiungere come bookmark URL individuali. HTTP proxy globale Con questa configurazione, è possibile configurare un server proxy aziendale singolo. È possibile aggiungere solo una configurazione per HTTP proxy globale nel profilo. Impostazione/campo Descrizione HTTP proxy globale In questo campo è possibile selezionare le impostazioni proxy per la connessione: Manualmente Se si seleziona questa opzione, vengano visualizzati i campi Server e porta, 97 Sophos Mobile Control Impostazione/campo Descrizione Autenticazione e Password. Nel campo Server e porta, inserire un indirizzo e una porta del server proxy validi. Nel campo Autenticazione, inserire il nome utente per la connessione al server proxy. Nel campo Password, inserire la password per la connessione al server proxy. Automatico Se si seleziona questa opzione, viene visualizzato il campo URL server proxy. È possibile inserire in questo campo l'URL del server con impostazioni proxy. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Cliccare su Carica file e selezionare il certificato. Selezionarlo e cliccare su Apri. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. Certificato client Con questa configurazione, è possibile caricare un certificato client per i dispositivi. È possibile aggiungere più configurazioni di Certificato client. Cliccare su Carica file e selezionare il certificato. Selezionarlo e cliccare su Apri. Il nome del certificato viene visualizzato nel campo Nome certificato. Inserire la Password relativa al certificato selezionato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. SCEP In questa configurazione è possibile definire le impostazioni che consentono ai dispositivi di ottenere certificati da un'Autorità di certificazione tramite Simple Certificate Enrollment Protocol (SCEP). È possibile aggiungere solo una configurazione SCEP nel profilo. Nota: questa configurazione è disponibile solo se SCEP è stato configurato durante l'impostazione di Sophos Mobile Control. SCEP deve essere abilitato durante l'installazione di Sophos Mobile Control. Consultare la Guida all'installazione di Sophos Mobile Control. Successivamente, un super administrator può configurare le necessarie impostazioni di SCEP nella console web. Consultare la Guida per super administrator di Sophos Mobile Control. Le impostazioni definite vengono quindi trasferite ai profili iOS. Nota: Gli amministratori con privilegi avanzati non sono supportati in Sophos Mobile Control as a Service. 98 Guida in linea per amministratori Impostazione/campo Descrizione URL In questo campo è possibile inserire l'URL del server SCEP. Nome CA In questo campo è possibile inserire il nome conosciuto dall'Autorità di certificazione. Questo nome può essere per esempio utilizzato per distinguere fra istanze. Oggetto In questo campo è possibile inserire una rappresentazione del nome X.500 come array di OID e un valore. Per esempio: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar. che si traduce in: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ] Tipo del nome dell'oggetto alternativo In questo campo è possibile scegliere il tipo di nome alternativo per il server SCEP: Nessuno Nome RFC 822 (indirizzo e-mail) Nome DNS Uniform Resource Identifier Se viene selezionata qualsiasi opzione diversa da Nessuno, verranno visualizzati i campi Valore del nome alternativo del soggetto e Nome di accesso dell'utente NT sotto il campo Tipo del nome dell'oggetto alternativo. Inserire i valori dei nomi richiesti. Challenge In questo campo è possibile inserire un segreto pre-condiviso che il server SCEP possa utilizzare per identificare la richiesta o l'utente. Nota: se viene utilizzato il modulo SCEP del server di Sophos Mobile Control, questo campo viene precompilato con %_CACHALLENGE_%. Non cambiare questo valore. Nuovi tentativi In questo campo è possibile impostare il numero di tentativi se il server invia una risposta "in sospeso". Ritardo del nuovo tentativo In questo campo è possibile inserire il numero di secondi che devono intercorre fra un tentativo e l'altro. 99 Sophos Mobile Control Impostazione/campo Descrizione Dimensioni chiave In questo campo selezionare le dimensioni della chiave: 1024 2048 Utilizza come firma digitale La chiave può essere utilizzata come firma digitale. Utilizza per la cifratura La chiave può essere utilizzata per la cifratura. Domini gestiti Quando i domini sono gestiti, i file scaricati da siti web specifici in Safari possono essere aperti solo dalle app inviate al dispositivo tramite MDM. È possibile accedere a Domini e-mail e Domini Web gestiti. Inserire un solo dominio per riga. Nota: Se la voce relativa a un dominio Web gestito include un numero di porta, solo gli indirizzi che specificano tale porta saranno considerati gestiti. Solo le porte standard verranno altrimenti considerate gestite (porta 80 per http e 443 per https). Cellulare Con questa configurazione, è possibile utilizzare il Nome punto di accesso (APN) del dispositivo e le impostazioni della cella di rete proxy. Queste impostazioni definiscono in che modo i dispositivi si collegano alla rete del vettore. Nota: Se queste impostazioni non sono corrette, il dispositivo non potrà accedere ai dati utilizzando la rete del vettore. Per annullare le modifiche apportate alle impostazioni, sarà necessario rimuovere il profilo dal dispositivo. Impostazione/campo Descrizione Autenticazione PAP CHAP APN L’APN citato dal dispositivo quando apre una connessione GPRS con l’operatore di rete. Deve corrispondere a un APN che viene accettato dall’operatore, altrimenti non sarà possibile stabilire la connessione. Nome utente per punto di accesso In questo campo si richiede di inserire il nome utente del punto di accesso. Nota: iOS supporta nomi utente APN aventi un massimo di 64 caratteri. 100 Guida in linea per amministratori Impostazione/campo Descrizione Password per punto di accesso In questo campo si richiede di inserire la password del punto di accesso. Nota: iOS supporta password APN aventi un massimo di 64 caratteri. Server proxy e porta In questo campo è possibile inserire un indirizzo e una porta del server proxy validi. CalDAV Questa impostazione consente di configurare la sincronizzazione dei dati del calendario con un server CalDAV. Può essere utilizzata, ad esempio, per sincronizzare Google Calendar con un dispositivo iOS. È possibile aggiungere configurazioni multiple al profilo di un dispositivo. Impostazione/campo Descrizione Nome account Il nome visualizzato nell’account CalDAV del dispositivo. Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numero di porta del server CalDAV. Ad esempio, per Google Calendar, inserire: calendar.google.com:443 URL principale Se richiesto dal server CalDAV, inserire l’URL principale della risorsa calendario. Ad esempio, per effettuare la sincronizzazione con un calendario diverso da quello principale in un account Google, inserire: Https://apidata.googleusercontent.com/caldav/ v2/id_calendario/user ove id_calendario è l’ID del calendario con il quale si desidera effettuare la sincronizzazione. Nell’applicazione web Google Calendar, l’ID del calendario viene visualizzato nelle impostazioni del calendario. Consultare la guida di Google Calendar per informazioni più dettagliate. Nome utente, Password Le credenziali di accesso per l’account CalDAV. Ad esempio, per Google Calendar, inserire le credenziali dell’account Google. 101 Sophos Mobile Control CardDAV Questa impostazione consente di configurare la sincronizzazione dei dati dei contatti con un server CardDAV. Può essere utilizzata, ad esempio, per sincronizzare i Contatti Google con un dispositivo iOS. È possibile aggiungere configurazioni multiple al profilo di un dispositivo. Impostazione/campo Descrizione Nome account Il nome visualizzato nell’account CardDAV del dispositivo. Host e porta dell’account Il nome host o l’indirizzo IP, e facoltativamente il numero di porta del server CardDAV. Ad esempio, per i Contatti Google, inserire: google.com URL principale Se richiesto dal server CardDAV, inserire l’URL principale della risorsa contatti. L’API CardDAV di Google supporta ad es. i seguenti URL principali: Https://www.googleapis.com/carddav/ v1/principals/[email protected] ove nome_account è il nome dell’account Google. Nome utente, Password Le credenziali di accesso per l’account CardDAV. Ad esempio, per i Contatti Google, inserire le credenziali dell’account Google. IMAP/POP Questa impostazione permette di aggiungere un account e-mail IMAP o POP al dispositivo iOS. È possibile aggiungere configurazioni multiple al profilo di un dispositivo. Impostazione/campo Descrizione Nome account Il nome visualizzato nell’account e-mail del dispositivo. Tipo di account Il tipo di server di posta per le e-mail in entrata. Può essere o IMAP o POP. 102 Guida in linea per amministratori Impostazione/campo Descrizione Nome utente visualizzato Il nome utente che viene visualizzato per le e-mail in uscita. È possibile utilizzare la variabile %_USERNAME_% e il server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail L’indirizzo e-mail dell’account. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Consenti trasferimento L’utente potrà trasferire messaggi e-mail da questo account a un altro. Ciò consente anche agli utenti di utilizzare un account diverso per effettuare azioni di risposta o inoltro dei messaggi provenienti da questo account. Consenti sincronizzazione dell'indirizzo più recente L’account verrà incluso nella sincronizzazione dell’elenco degli indirizzi più recenti. Utilizza solo in e-mail L’account potrà essere utilizzato solo per inviare messaggi dall’app di posta elettronica. Non potrà essere scelto come account di invio per messaggi creati utilizzando altre app, per esempio Foto o Safari. Consenti ricezione posta Consente l’uso di Apple Mail Drop per questo account. Abilita S/MIME Supporta lo standard di cifratura S/MIME. Certificato per la firma I certificati che vengono utilizzati per la firma e la cifratura delle e-mail. Certificato di cifratura Per selezionare un certificato, occorre prima caricarlo in una delle configurazioni Certificato client del profilo attualmente in uso. Consenti all’utente di inviare e-mail non cifrate L’utente potrà decidere se ciascuna e-mail in uscita debba essere cifrata oppure no. E-mail in arrivo Server di posta e porta Il nome host o indirizzo IP e il numero di porta del server per le e-mail in arrivo (server di posta in arrivo). Nome utente Il nome utente da utilizzare per connettersi al server di posta in arrivo. Tipo di autenticazione Il metodo di autenticazione da utilizzare per connettersi al server di posta in arrivo. 103 Sophos Mobile Control Impostazione/campo Descrizione Password La password da utilizzare per connettersi al server di posta in arrivo (se richiesto). SSL Utilizza Secure Sockets Layer per il trasferimento della posta in arrivo. E-mail in uscita Server di posta e porta Il nome host o indirizzo IP e il numero di porta del server per le e-mail in uscita (server di posta in uscita). Nome utente Il nome utente da utilizzare la connessione al server di posta in uscita. Tipo di autenticazione Il metodo di autenticazione da utilizzare per la connessione al server di posta in uscita. Password La password da utilizzare per la connessione al server di posta in uscita (se richiesto). Utilizza la stessa password delle e-mail in arrivo Utilizza la password specificata per le e-mail in arrivo. SSL Utilizza Secure Sockets Layer per il trasferimento della posta in uscita. Regole di utilizzo per la rete Questa configurazione consente di specificare il modo in cui le app gestite sono autorizzate a usare le reti mobili. Al profilo di un dispositivo è possibile aggiungere solamente una configurazione per Regole di utilizzo per la rete. Impostazione/campo Descrizione Consenti uso rete dati Le app gestite saranno autorizzate a utilizzare la comunicazione dei dati tramite reti mobili. Consenti roaming dati Le app gestite saranno autorizzate a utilizzare la comunicazione dei dati quando il dispositivo si trova in roaming su una rete mobile estera. Per specificare le regole di utilizzo della rete: 1. Utilizzare le caselle di spunta per specificare le impostazioni generali per le app gestite. 104 Guida in linea per amministratori 2. È possibile opzionalmente sovrascrivere le impostazioni per specifiche app gestite. Cliccare su Aggiungi eccezione, e successivamente: a. Inserire un gruppo di app contenente le app gestite alle quali si desidera applicare l’eccezione. b. Specificare le impostazioni per questo gruppo di app. Nota: Non è possibile definire eccezioni multiple per lo stesso gruppo di app. 13.3.1.2 Configurazioni disponibili per i criteri del contenitore Sophos Questi criteri si riferiscono alle app contenitore Sophos Secure Workspace e Sophos Secure Email. Generale Nota: Questa configurazione è obbligatoria e non può essere eliminata. Le impostazioni in una configurazione di tipo Generale vengono applicate a tutte le app contenitore, se applicabili. Impostazione/campo Descrizione Attiva password della app Gli utenti devono inserire una password aggiuntiva prima di poter avviare un'app contenitore. Tale password deve essere definita al primo avvio dell'app contenitore, dopo l'applicazione delle impostazioni di configurazione. Questa password viene applicata a tutte le app contenitore. Complessità della password In questo campo è possibile definire i requisiti di complessità minimi da applicare alla password della app. Password più complesse e quindi più sicure sono sempre consentite. Le password (formate da un insieme cifre e caratteri alfabetici) vengono comunemente considerate più sicure rispetto a PIN (formati solo da cifre). È possibile selezionare le seguenti impostazioni: Qualsiasi: non è applicata alcuna restrizione alle password PIN di 4 cifre PIN di 6 cifre Password di 4 caratteri Password di 6 caratteri Password di 8 caratteri Password di 10 caratteri Durata della password in giorni In questo campo occorre specificare per quanti giorni possa essere utilizzata una password prima che venga richiesto agli utenti di modificarla. Tentativi di accesso non riusciti In questo campo viene specificato il numero tollerato di tentativi prima del blocco di accesso non riusciti, prima che le app contenitore vengano 105 Sophos Mobile Control Impostazione/campo Descrizione bloccate. Una volta bloccate le app, lo sblocco dovrà essere effettuato da un amministratore, oppure, se consentito, dagli utenti attraverso il portale self-service. Consenti impronta digitale Selezionare questa casella di spunta per consentire agli utenti di adoperare le proprie impronte digitali per sbloccare l'app. Periodo di tolleranza in minuti In questo campo viene definito il periodo di tempo entro cui non è richiesta la definizione di alcuna password dell'app contenitore, se l'app torna a comparire in primo piano. Se il dispositivo è stato bloccato e sbloccato, gli utenti devono sempre inserire la password della app, a prescindere dal periodo di tolleranza. Il periodo di tolleranza è applicabile a tutte le app contenitore. Durante il periodo di tolleranza è anche possibile passare da un'app a un'altra senza dover inserire la password. È possibile scegliere fra 1, 2, 5, 10, 15 minuti. Ultima connessione server In questo campo è possibile definire per quanto tempo gli utenti possano utilizzare Sophos Secure Workspace senza connettersi al server di Sophos Mobile Control. Quando Sophos Secure Workspace è attivo, ma non riesce a connettersi al server entro il periodo di tempo definito, viene visualizzata una schermata di blocco in cui si trova il pulsante Prova di nuovo. L'unico modo a disposizione degli utenti per sbloccare l'app è toccare Prova di nuovo, che avvia la connessione di Sophos Secure Workspace al server. Se sarà possibile stabilire una connessione col server, l'app verrà sbloccata. In caso contrario verrà negato l'accesso. È possibile definire le seguenti impostazioni: In accesso: la connessione al server è sempre richiesta e l'app viene bloccata ogniqualvolta sia impossibile contattare il server. 1 ora: È necessario stabilire una connessione al server quando l'app viene attivata almeno un'ora dopo l'ultimo tentativo riuscito di connessione al server. 3 ora 6 ora 12 ora 1 giorno 3 giorni 1 settimana nessuna: non è richiesto alcun contatto regolare col server. 106 Guida in linea per amministratori Impostazione/campo Descrizione L'accesso off-line viene avviato senza connessione server In questo campo è possibile definire la frequenza con cui gli utenti possono avviare Sophos Secure Workspace senza connessione server. Nota: Questa impostazione richiede l'abilitazione della funzione relativa alla password della app. Il conteggio viene incrementato ogniqualvolta gli utenti inseriscano la password di Sophos Secure Workspace. Se il conteggio supera il numero prefissato, viene visualizzata la stessa schermata di blocco descritta per l'impostazione Ultima connessione server. Se viene stabilita una connessione col server di Sophos Mobile Control, il conteggio verrà azzerato. Illimitato: non è richiesta alcuna connessione al server. 0: impossibile avviare l'app senza connessione server. 1: dopo un primo avvio riuscito della app è necessario stabilire una connessione col server. 3 5 10 20 Jailbreak consentito Le app contenitore avranno l’autorizzazione di eseguirsi su dispositivi che sono stati sottoposti a jailbreak. Vincoli per l'uso dell'app Con questa opzione è possibile definire vincoli relativi all'uso delle app contenitore Sophos. Cliccare su Aggiungi per inserire vincoli. Recinti virtuali Consente di aggiungere latitudine e longitudine, e un raggio all'interno del quale è consentito utilizzare le app contenitore Sophos. Intervalli temporali Consente di specificare un orario di inizio e un orario di fine, entro i quali è consentito utilizzare le app contenitore Sophos. Occorre specificare anche i giorni della settimana in cui è consentito adoperare le app. Recinti Wi-Fi Consente di specificare le reti Wi-Fi a cui i dispositivi devono essere connessi per poter utilizzare le app contenitore Sophos. Il dispositivo deve essere connesso a una delle reti elencate. Non sarà sufficiente poter visualizzare una rete in particolare nell’elenco di reti disponibili. Importante: Si consiglia di non utilizzare i recinti Wi-Fi come unico meccanismo di sicurezza, in quanto i nomi delle rete Wi-Fi sono facilmente soggetti a spoofing. 107 Sophos Mobile Control E-mail aziendale Impostazione/campo Descrizione Host Exchange ActiveSync Inserire le informazioni relative all'indirizzo del server di Exchange ActiveSync dell'azienda (ad esempio mail.azienda.com). Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_%, che il server sostituirà con il nome utente effettivo, se il dispositivo a cui viene assegnato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_%, che il server sostituirà con l'indirizzo e-mail effettivo, se il dispositivo a cui viene assegnato il profilo ha stabilito un collegamento LDAP. Dominio Inserire il dominio del server di Exchange dell'azienda (ad esempio EXCHANGE2013). E-mail di contatto del Supporto Definire l'indirizzo e-mail che deve essere utilizzato come indirizzo e-mail per l'opzione "Contatta il supporto". Usa campi di testo sicuri Il contenuto dei campi di immissione verrà protetto. Le funzionalità di completamento automatico e correzione automatica saranno disabilitate nell’app E-mail aziendale, per impedire che parole di natura sensibile vengano salvate nella memoria del dispositivo. Esporta contatti verso il dispositivo Agli utenti verrà consentito di esportare e trasferire i contatti dotati di numero di telefono sui contatti del dispositivo locale. L’app E-mail aziendale ne garantirà la sincronizzazione. Verranno esportati solamente nome e numero di telefono, per consentire all'utente di identificare i contatti aziendali in una chiamata in arrivo. Si prega di notare che, anche dopo il reset remoto di E-mail aziendale, le informazioni rimarranno disponibili nello spazio di archiviazione locale del dispositivo. Mostra dettagli notifica Questa opzione controlla la visualizzazione delle notifiche e-mail e dei promemoria eventi nell’app Sophos Secure Email. Quando questa opzione è selezionata: Le notifiche e-mail verranno visualizzate con mittente e oggetto. I promemoria eventi verranno visualizzati con ora, luogo e titolo. Quando questa opzione è deselezionata: Le notifiche e-mail saranno disattivate. I promemoria eventi saranno visualizzati solo con il relativo orario. 108 Guida in linea per amministratori Impostazione/campo Descrizione Nota: Se si ritiene che le notifiche che vengono visualizzate su un dispositivo possano costituire un rischio di sicurezza in caso di furto o smarrimento, potrebbe essere preferibile disattivare i dettagli delle notifiche. Nega copia negli appunti Gli utenti non potranno copiare o tagliare e incollare testo dall’app Sophos Secure Email. Consenti visualizzatori esterni L’utente sarà in grado di salvare gli allegati, oppure di aprirli in altre app. Dimensioni massime e-mail Se richiesto, selezionare dall’elenco le dimensioni massime per le e-mail nell’app Sophos Secure Email. Documenti aziendali Impostazione/campo Descrizione Configura provider di archiviazione Cliccare su questa opzione per configurare i provider di archiviazione disponibili. Archiviazione locale Per tutti i provider di archiviazione è possibile definire separatamente le seguenti impostazioni: Consente agli utenti di archiviare i file in Sophos Sophos Secure Workspace e di Abilita se selezionata, il provider di archiviazione è visibile spostare i file dall'archivio locale nella app. all'archivio in-the-cloud. Off-line se selezionata, gli utenti possono aggiungere file dal Dropbox provider di archiviazione all'elenco Preferiti della app per consultazione off-line. Google Drive MagentaCLOUD OneDrive Box Egnyte WebDAV 1 WebDAV 2 Apri con (cifrato): se attivata, gli utenti possono inviare o trasferire file cifrati ad altre app tramite la funzione Apri in. Apri con (testo in chiaro): se attivata, gli utenti possono inviare o trasferire file in chiaro ad altre app tramite la funzione Apri in. Appunti: se attivata, gli appunti sono abilitati nella vista documenti delle app in modo tale che gli utenti possano copiare parti di un documento e incollarle in altre app. WebDAV 3 I provider Egnyte e WebDAV vengono considerati provider aziendali, per cui è possibile definire centralmente sia le credenziali server che utente. Tali credenziali non potranno essere modificate dagli utenti. Le impostazioni relative alle credenziali non definite centralmente potranno essere scelte dagli utenti, all'interno della schermata relativa alla credenziali del provider della app. 109 Sophos Mobile Control Impostazione/campo Descrizione È per esempio possibile definire centralmente l'account server e utente da utilizzare, ma è al tempo stesso possibile non definire il campo relativo alla password. Gli utenti dovranno essere a conoscenza della password per poter accedere al provider di archiviazione. Server In questo campo inserire: L'URL della cartella principale nel server WebDAV di Documenti aziendali L'URL della cartella principale nel server di Egnyte. L'URL della cartella principale nel server di WebDAV. Utilizzare il seguente formato: https://server.azienda.com Nome utente In questo campo si richiede di inserire il nome utente relativo a un determinato server. Password In questo campo si richiede di inserire la password relativa a un determinato account. Carica cartella In questo campo si richiede di inserire la cartella di upload relativa a un determinato account. Abilita documenti Abilita la funzionalità Documenti per distribuire in modo sicuro i documenti aziendali. Complessità della passphrase In questo campo è possibile definire i requisiti minimi di complessità da applicare alle passphrase per le chiavi di cifratura. Passphrase più complesse e quindi più sicure sono sempre consentite. È possibile selezionare le seguenti impostazioni: Password di 4 caratteri Password di 6 caratteri Password di 8 caratteri Password di 10 caratteri Browser aziendale Il Browser aziendale consente di accedere in maniera sicura alle pagine intranet aziendali, e ad altre pagine esplicitamente autorizzate. È possibile definire un set di segnalibri, ad es. domini accessibili dal browser sicuro. Nella configurazione di Browser aziendale, cliccare su Aggiungi dominio o Aggiungi segnalibro. 110 Guida in linea per amministratori Impostazione/campo Descrizione Aggiungi dominio URL Inserire in questo campo il dominio che si desidera autorizzare. Consenti copia/incolla Agli utenti verrà permesso di copiare e incollare testo dal Browser aziendale ad altre app. Consenti apri con Agli utenti verrà consentito di scaricare allegati, o di inoltrarli ad altre app. Consenti salva password Agli utenti verrà permesso di salvare le proprie password nel Browser aziendale. Aggiungi segnalibro Nota: Il segnalibro verrà aggiunto al dominio specificato nell'URL. I domini verranno creati automaticamente se non sono già esistenti. Nome Inserire in questo campo il nome del segnalibro. URL Inserire in questo campo l'URL del segnalibro. Certificato client Con questa configurazione, è possibile caricare un certificato client nei dispositivi. È possibile aggiungere più configurazioni di Certificato client. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Inserire la Password relativa al certificato selezionato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Nel campo File, selezionare i certificati rilevanti e cliccare su Carica file. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: il certificato caricato qui è disponibile solo per questo profilo. Se si richiedono certificati anche in altri profili, li si dovrà caricare nuovamente. SCEP Le configurazioni di SCEP in un criterio contenitore Sophos vengono create nello stesso modo dei profili del dispositivo. Consultare le sezione Creazione di un profilo del dispositivo SCEP per iOS a pagina 38. 111 Sophos Mobile Control 13.3.2 Importazione dei profili per dispositivi iOS creati con l'Apple Configurator È possibile importare i profili creati utilizzando l'Apple Configurator direttamente nella console Web. Nota: Apple Configurator può essere scaricato dall'App Store. 1. Una volta creato un profilo in Apple Configurator, esportarlo (non ancora cifrato e non firmato) e salvarlo nel computer. 2. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e quindi su Apple iOS. Verrà visualizzata la pagina Profili e criteri. 3. Cliccare su Crea e selezionare Importa profilo. Verrà visualizzata la pagina Modifica profilo. 4. Inserire un Nome e una Versione per il nuovo profilo. 5. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. 6. Cliccare su Carica file e navigare sul file salvato sul proprio computer; selezionarlo e cliccare su Apri. Il profilo verrà visualizzato nella pagina Modifica profilo. 7. Cliccare su Salva. Il profilo è ora disponibile per il trasferimento e verrà visualizzato nella pagina Profili e criteri per Apple iOS. 13.4 Creazione di criteri per Windows Mobile o Desktop 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamente cliccare su: ■ ■ Windows Mobile per creare un criterio per i dispositivi Windows Mobile. Windows Desktop per creare un criterio per i dispositivi Windows Desktop. 2. Nella pagina Criteri, cliccare su Crea. Verrà visualizzata la pagina Modifica criterio. 3. 4. 5. 6. Inserire un Nome e una Versione per il nuovo profilo. Nel campo Descrizione, inserire una descrizione del profilo. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. Cliccare su Aggiungi configurazione. Verrà visualizzata la pagina Configurazioni disponibili. 7. Selezionare la configurazione che si desidera aggiungere, quindi cliccare su Avanti. Verrà visualizzata la pagina dedicata alla configurazione. 8. Indicare le impostazioni necessarie. Per un elenco dettagliato di tutte le configurazioni e impostazioni disponibili, vedere le sezioni Configurazioni disponibili per Windows Mobile a pagina 113 e Configurazioni disponibili per Windows Desktop a pagina 120. 112 Guida in linea per amministratori 9. Per salvare le modifiche apportate cliccare su Applica. La configurazione verrà visualizzata nella pagina Modifica criterio, sotto Configurazioni. 10. Una volta aggiunte tutte le configurazioni necessarie cliccare su Salva. Il criterio verrà visualizzato nella pagina Criteri. Potrà essere assegnato a dispositivi o gruppi di dispositivi. 13.4.1 Configurazioni disponibili per Windows Mobile Le seguenti configurazioni sono disponibili per i criteri di Windows Mobile nella pagina Configurazioni disponibili, durante la creazione o la modifica di un criterio. Alcune configurazioni possono essere aggiunte solo una volta in un criterio, mentre altre possono essere utilizzate più volte. Nota: Le impostazioni supportate possono dipendere dalla versione del sistema operativo, oppure da altre funzionalità del dispositivo. Se una configurazione, oppure un’impostazione all’interno di una configurazione, è supportata solamente per dispositivi specifici, l’ambito di compatibilità viene indicato da un'etichetta blu. Criteri password In questa configurazione, è possibile definire le regole per passcode da applicare ai dispositivi. È possibile aggiungere solo una configurazione Criteri password all’interno di un criterio. Impostazione/campo Descrizione Tipo di password In questo campo, scegliere il tipo di password che si desidera definire: Alfanumerico Alfanumerico o numerico Consenti password semplice Le password potranno contenere caratteri sequenziali o ripetuti, come ad esempio abcde o 1111. Lunghezza minima della password Indica il numero minimo di caratteri per password. Numero massimo di tentativi non riusciti (da 1 In questo campo, può essere indicato il numero a 999 o 0) massimo di tentativi non riusciti di inserimento della password corretta prima di procedere alla disattivazione del dispositivo. Tempo in minuti prima che il dispositivo venga In questo campo è possibile indicare l'intervallo di bloccato (da 1 a 999 o 0) tempo (in minuti) entro il quale, se il dispositivo non è stato utilizzato, verrà bloccato. Il dispositivo può essere sbloccato inserendo la password. Cronologia password In questo campo, è possibile indicare quante password precedenti memorizzare e confrontare con quelle nuove. Quando l'utente definisce una 113 Sophos Mobile Control Impostazione/campo Descrizione nuova password, questa non viene accettata se corrisponde a una precedente. Range valore: da 1 a 50 o 0 (nessuna cronologia password). Durata massima della password in giorni Richiede agli utenti di modificare la password entro l'intervallo specificato. Range valore: da 0 (non è richiesto di cambiare la password) a 730 giorni. Numero minimo di gruppi di caratteri diversi Indica il numero minimo di caratteri non alfabetici (per es. & o !) per password. Consenti che venga impostato il periodo di tolleranza della password Gli utenti saranno autorizzati a definire il periodo di tolleranza della password. Restrizioni In questa configurazione, è possibile definire le restrizioni per i dispositivi. È possibile aggiungere solo una configurazione Restrizioni all’interno di un criterio. Sezione Dispositivo: Impostazione/campo Descrizione Vieta scheda SD Vieta dispositivi non cifrati Vieta che notifiche del centro operativo vengano visualizzate sopra la schermata di blocco Vieta aggiunta manuale di account e-mail non Vieta l'aggiunta di tutte le tipologie di account Microsoft e-mail, inclusi gli account Exchange, Office 365 e Outlook.com. Vieta connessione ad account Microsoft L'account Microsoft è l'account di sistema utilizzato per effettuare la sincronizzazione, il backup e l'archiviazione. Vieta sblocco dello sviluppatore Vieta Windows Store Vieta browser nativo Vieta fotocamera 114 Quando è selezionata questa opzione, l’impostazione di Privacy Consenti alle app di Guida in linea per amministratori Impostazione/campo Descrizione usare la fotocamera sarà disattivata e non potrà essere attivata dall’utente. Telemetria Sezione Vari: Impostazione/campo Descrizione Vieta copia e incolla Vieta Cortana Vieta "Salva con nome" per file Office Vieta acquisizione schermo Vieta condivisione di file Office Vieta "Sincronizza le impostazioni" Vieta registrazione voce Sezione Wi-Fi: Impostazione/campo Descrizione Vieta Wi-Fi Vieta condivisioni Internet Vieta auto-connessione a hotspot Wi-Fi Sense Vieta report su hotspot Vieta configurazione manuale Sezione Connettività: 115 Sophos Mobile Control Impostazione/campo Descrizione Vieta NFC Vieta bluetooth Vieta connessioni USB Sezione Roaming e costi: Impostazione/campo Descrizione Vieta roaming su reti dati Vieta VPN su reti cellulari Vieta roaming VPN su cellulari Sezione Protezione e privacy: Impostazione/campo Descrizione Vieta che Bing Vision archivi immagini derivanti da ricerche Bing Vision Vieta utilizzo del localizzatore durante ricerche Vieta installazione manuale di certificati root Vieta localizzatore Attivando questa opzione non si consente a Sophos Mobile Control di geolocalizzare il dispositivo. Autorizzazione SafeSearch Sezione Cancella registrazione: Impostazione/campo Vieta che l'utente possa resettare il telefono Vieta cancellazione manuale della registrazione MDM 116 Descrizione Guida in linea per amministratori Exchange ActiveSync In questa configurazione, è possibile definire le impostazioni utente per Microsoft Exchange Server. È possibile aggiungere più configurazioni di Exchange ActiveSync. Impostazione/campo Descrizione Nome account Inserire il nome dell'account in questo campo. Host Exchange ActiveSync Inserire l'indirizzo del Microsoft Exchange Server. Nota: Se si utilizza SMC EAS proxy, inserire l'URL del proxy/server SMC. Dominio Inserire il dominio dell'account. Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_% e il server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Password Inserire la password dell'account in questo campo. Periodo di sincronizzazione Indicare l'intervallo di tempo per la sincronizzazione. Si tratta del numero di giorni per i quali gli elementi vengono sincronizzati. Se viene specificato un intervallo di tempo, non verranno sincronizzati tutti gli elementi della casella di posta in arrivo del dispositivo gestito, bensì solamente quelli che rientrano nell'intervallo di tempo indicato. È possibile selezionare i seguenti periodi di sincronizzazione: Illimitato Tre giorni Una settimana Due settimane Un mese 117 Sophos Mobile Control Impostazione/campo Descrizione Intervallo di sincronizzazione In questo campo è possibile selezionare l'intervallo fra i processi di sincronizzazione: Sincronizzazione in entrata Manualmente 10 minuti 15 minuti 30 minuti Un'ora SSL Verificare che questa opzione sia selezionata, per poter inviare tutte le comunicazioni tramite SSL (Secure Socket Layer). Tipi di contenuto della sincronizzazione In questo campo viene selezionato il tipo di oggetti da sincronizzare: E-mail Informazioni di contatto Calendario Operazioni Wi-Fi In questa configurazione è possibile specificare le impostazioni per la connessione alle reti wireless. È possibile aggiungere più configurazioni Wi-Fi. 118 Impostazione/campo Descrizione SSID Inserire l'ID della rete wireless. Connetti automaticamente La connessione verrà stabilita in maniera automatica. Rete nascosta La rete di destinazione non sarà né aperta né visibile. Tipo di sicurezza Selezionare il tipo di sicurezza dall’elenco. Se si seleziona WPA-PSK o WPA2-PSK, occorrerà specificare la password. Proxy Se dall'elenco si seleziona Manualmente, occorrerà specificare server e porta. Guida in linea per amministratori Restrizioni app In questa configurazione è possibile autorizzare o bloccare app specifiche sui dispositivi. Impostazione/campo Descrizione App consentite Contiene un set di singole app che gli utenti sono autorizzati a installare e utilizzare sul dispositivo. Gli utenti non saranno in grado di installare o utilizzare nessuna app che non sia stata specificata nell'elenco. Utilizzare App consentite quando si conoscono le app da autorizzare, e si desidera bloccare tutte le altre app. App proibite Contiene un set di singole app che gli utenti non sono autorizzati a installare e utilizzare sul dispositivo. Gli utenti saranno in grado di installare o utilizzare qualsiasi app che non sia stata specificata nell'elenco. Utilizzare App proibite quando si conoscono le app da bloccare, e si desidera autorizzare tutte le altre app. Gruppo di app Selezionare il Gruppo di app che contiene l'elenco di app che si desidera autorizzare o bloccare. Nota: Il gruppo di app deve essere creato precedentemente. Vedere la sezione Utilizzo dei gruppi di app a pagina 141. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Cliccare su Carica file e selezionare il certificato. Selezionarlo e cliccare su Apri. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: Il certificato che viene caricato qui è disponibile solo per questo criterio. Se si richiedono certificati anche in altri criteri, occorrerà caricarli nuovamente. SCEP Per la configurazione SCEP, consultare la sezione Creazione di un profilo del dispositivo SCEP per Windows Mobile a pagina 39. 119 Sophos Mobile Control 13.4.2 Configurazioni disponibili per Windows Desktop Le seguenti configurazioni sono disponibili per i criteri di Windows Desktop nella pagina Configurazioni disponibili, durante la creazione o la modifica di un criterio. Alcune configurazioni possono essere aggiunte solo una volta in un criterio, mentre altre possono essere utilizzate più volte. Nota: Le impostazioni supportate possono dipendere dalla versione del sistema operativo, oppure da altre funzionalità del dispositivo. Se una configurazione, oppure un’impostazione all’interno di una configurazione, è supportata solamente per dispositivi specifici, l’ambito di compatibilità viene indicato da un'etichetta blu. Criteri password In questa configurazione, è possibile definire le regole per le password da applicare ai dispositivi. È possibile aggiungere solo una configurazione Criteri password all’interno di un criterio. Nota: Le regole di complessità della password (ad es. lunghezza, numero di caratteri maiuscoli e minuscoli) per i dispositivi Windows Desktop sono fisse, e non possono essere determinate da un criterio di Sophos Mobile Control. Per informazioni dettagliate, vedere la sezione Regole di complessità della password per Windows Desktop a pagina 127. Nota: I criteri della password non possono essere assegnati a un dispositivo Windows Desktop se sul dispositivo sono configurati altri utenti locali (oltre all’utente registrato con Sophos Mobile Control), e se almeno uno di questi utenti non è autorizzato a modificare la propria password. Impostazione/campo Descrizione Numero massimo di tentativi non riusciti In questo campo, può essere indicato il numero massimo di tentativi non riusciti di inserimento della password corretta prima di procedere alla cancellazione dei dati dal dispositivo. Tempo in minuti prima che il dispositivo venga In questo campo è possibile indicare l'intervallo di bloccato tempo (in minuti) entro il quale, se il dispositivo non è stato utilizzato, verrà bloccato. Il dispositivo può essere sbloccato inserendo la password. 120 Cronologia password In questo campo, è possibile indicare quante password precedenti memorizzare e confrontare con quelle nuove. Quando l'utente definisce una nuova password, questa non viene accettata se corrisponde a una precedente. Range valore: da 1 a 50 o 0 (nessuna cronologia password). Durata massima della password in giorni Richiede agli utenti di modificare la password entro l'intervallo specificato. Range valore: da 0 (non è richiesto di cambiare la password) a 730 giorni. Guida in linea per amministratori Restrizioni In questa configurazione, è possibile definire le restrizioni per i dispositivi. È possibile aggiungere solo una configurazione Restrizioni all’interno di un criterio. Sezione Dispositivo: Impostazione/campo Descrizione Vieta scheda SD Non sarà possibile effettuare l’accesso alle schede SD. Vieta aggiunta manuale di account e-mail non Vieta l'aggiunta di tutte le tipologie di account Microsoft e-mail, inclusi gli account Exchange, Office 365 e Outlook.com. Vieta modalità sviluppatore Quando si seleziona questa opzione, la modalità sviluppatore Windows sarà disattivata e non potrà essere abilitata dall’utente. Vieta fotocamera Quando è selezionata questa opzione, l’impostazione di Privacy Consenti alle app di usare la fotocamera sarà disattivata e non potrà essere attivata dall’utente. Disattiva riempimento automatico in Edge Quando è selezionata questa opzione, la funzionalità riempimento automatico del browser web Edge sarà disattivata e non potrà essere abilitata dall’utente. Quando questa opzione non viene selezionata, la funzionalità di riempimento automatico sarà abilitata e non potrà essere disattivata dall’utente. Disattiva Strumenti di sviluppo F12 in Edge Verranno disattivati gli Strumenti di sviluppo F12 del browser web Edge. Disattiva blocco popup in Edge Quando è selezionata questa opzione, il blocco popup del browser web Edge sarà disattivato e non potrà essere abilitato dall’utente. Quando questa opzione non viene selezionata, il blocco popup sarà abilitato e non potrà essere disattivato dall’utente. Disattiva impostazioni di AutoPlay Disattiva impostazioni di data e ora Disattiva impostazioni della lingua Verranno disattivate le sezioni corrispondenti nel Pannello di controllo Windows. L’utente non potrà modificare alcuna di queste impostazioni una volta che questo criterio è stato assegnato al dispositivo. Nota: Disattiva impostazioni di AutoPlay non disattiva le impostazioni per i dispositivi connessi, come ad es. i telefoni cellulari. 121 Sophos Mobile Control Impostazione/campo Descrizione Disattiva impostazioni di alimentazione e sospensione Disattiva impostazioni relative alla regione Disattiva impostazioni di accesso Disattiva impostazioni della VPN Disattiva impostazioni dell’area di lavoro Disattiva impostazioni dell’account Telemetria Sezione Vari: Impostazione/campo Descrizione Vieta Cortana Vieta "Sincronizza le impostazioni" Disattiva Suggerimenti di Windows L’opzione di notifica Windows Mostra suggerimenti su Windows verrà disattivata. Sezione Wi-Fi: Impostazione/campo Descrizione Vieta condivisioni Internet Vieta auto-connessione a hotspot Wi-Fi Sense Sezione Connettività: Impostazione/campo Vieta bluetooth Sezione Protezione e privacy: 122 Descrizione Guida in linea per amministratori Impostazione/campo Descrizione Vieta utilizzo del localizzatore durante ricerche Sezione Cancella registrazione: Impostazione/campo Descrizione Vieta cancellazione manuale della registrazione MDM Exchange ActiveSync In questa configurazione, è possibile definire le impostazioni utente per Microsoft Exchange Server. È possibile aggiungere più configurazioni di Exchange ActiveSync. Importante: Se si utilizzano configurazioni multiple per impostare account di Exchange ActiveSync, i dispositivi potrebbero essere in grado di recuperare solamente la posta di un unico account. Ciò avviene tipicamente quando gli account sono situati su server di Exchange ActiveSync diversi, e sui server sono stati impostati criteri diversi per le mailbox. Poiché i dispositivi Windows Desktop possono implementare solamente un unico criterio mailbox, non si connetteranno agli account che utilizzano un criterio diverso. Impostazione/campo Descrizione Nome account Inserire un nome account in questo campo. Host Exchange ActiveSync Inserire l'indirizzo del Microsoft Exchange Server. Nota: Se si utilizza SMC EAS proxy, inserire l'URL del proxy/server SMC. Dominio Inserire il dominio dell'account. Utente Inserire l'utente dell'account in questo campo. È possibile utilizzare la variabile %_USERNAME_% e il server la sostituirà con l'effettivo nome utente, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. Indirizzo e-mail Inserire l'indirizzo e-mail dell'account in questo campo. È possibile utilizzare la variabile %_EMAILADDRESS_% e il server la sostituirà con l'effettivo indirizzo e-mail, se il dispositivo a cui viene inviato il profilo ha stabilito un collegamento LDAP. 123 Sophos Mobile Control Impostazione/campo Descrizione Password Inserire la password dell'account in questo campo. Periodo di sincronizzazione Indicare l'intervallo di tempo per la sincronizzazione. Si tratta del numero di giorni per i quali gli elementi vengono sincronizzati. Se viene specificato un intervallo di tempo, non verranno sincronizzati tutti gli elementi della casella di posta in arrivo del dispositivo gestito, bensì solamente quelli che rientrano nell'intervallo di tempo indicato. È possibile selezionare i seguenti periodi di sincronizzazione: Illimitato Tre giorni Una settimana Due settimane Un mese Intervallo di sincronizzazione In questo campo è possibile selezionare l'intervallo fra i processi di sincronizzazione: Sincronizzazione in entrata Manualmente 10 minuti 15 minuti 30 minuti Un'ora SSL Verificare che questa opzione sia selezionata, per poter inviare tutte le comunicazioni tramite SSL (Secure Socket Layer). Tipi di contenuto della sincronizzazione In questo campo viene selezionato il tipo di oggetti da sincronizzare: E-mail Informazioni di contatto Calendario Operazioni Wi-Fi In questa configurazione è possibile specificare le impostazioni per la connessione alle reti wireless. È possibile aggiungere più configurazioni Wi-Fi. 124 Guida in linea per amministratori Impostazione/campo Descrizione SSID Inserire l'ID della rete wireless. Connetti automaticamente La connessione verrà stabilita in maniera automatica. Rete nascosta La rete di destinazione non sarà né aperta né visibile. Tipo di sicurezza Selezionare il tipo di sicurezza dall’elenco. Se si seleziona WPA-PSK o WPA2-PSK, occorrerà specificare la password. Proxy Se dall'elenco si seleziona Manualmente, occorrerà specificare server e porta. Certificato root In questa configurazione, è possibile caricare un certificato root per i dispositivi. È possibile aggiungere più configurazioni di Certificato root. Cliccare su Carica file e selezionare il certificato. Selezionarlo e cliccare su Apri. Il nome del certificato viene visualizzato nel campo Nome certificato. Nota: Il certificato che viene caricato qui è disponibile solo per questo criterio. Se si richiedono certificati anche in altri criteri, occorrerà caricarli nuovamente. 13.5 Segnaposti all’interno di profili e criteri I profili e i criteri possono includere segnaposti, che vengono sostituiti da dati reali durante l'esecuzione di un'operazione. Segue un elenco di segna posti utilizzati nei profili: ■ ■ Segnaposti per i dati utente di Active Directory: ■ %_EMAILADDRESS_% ■ %_USERNAME_% Segnaposti per le proprietà del dispositivo: ■ %_DEVPROP(nome proprietà)_% nome proprietà può essere una proprietà standard o una proprietà personalizzata del dispositivo. Vedere la sezione Definizione di proprietà personalizzate per i dispositivi a pagina 149. ■ Segnaposti per le proprietà del cliente: ■ %_CUSTPROP(nome proprietà)_% Vedere la sezione Definizione delle proprietà del cliente a pagina 23. 125 Sophos Mobile Control 13.6 Trasferimento dei profili 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamente cliccare su una delle piattaforme dei dispositivi che supportano i profili: ■ ■ Android Apple iOS Verrà visualizzata la pagina Profili e criteri della piattaforma selezionata. 2. Cliccare sull'icona a forma di triangolo blu accanto al profilo da trasferire, e selezionare Trasferisci. Verrà visualizzata la pagina Seleziona dispositivi. 3. Questa pagina consente di: ■ ■ Selezionare i singoli dispositivi a cui si desidera trasferire il profilo. Cliccare su Seleziona gruppi di dispositivi, e selezionare uno o più gruppi di dispositivi per il trasferimento del profilo. 4. Una volta effettuata la selezione, cliccare su Avanti. Verrà visualizzata la pagina Imposta data di esecuzione. 5. Sotto Data pianificata, selezionare Ora o indicare una Data e un Orario per l'esecuzione di questa operazione. 6. Cliccare su Fine. Viene aperta la vista Operazione. Il profilo verrà trasferito sui dispositivi selezionati alla data e all’ora specificate. 13.7 Assegnazione dei criteri 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su Profili, criteri e successivamente cliccare su una delle piattaforme dei dispositivi che supportano i criteri: ■ ■ ■ ■ Android Apple iOS Windows Mobile Windows Desktop Verrà visualizzata la pagina Profili e criteri della piattaforma selezionata. 2. Cliccare sull'icona a forma di triangolo blu accanto al criterio da assegnare, e selezionare Assegna. Verrà visualizzata la pagina Seleziona dispositivi. 3. Questa pagina consente di: ■ ■ Selezionare i singoli dispositivi a cui si desidera assegnare il criterio. Cliccare su Seleziona gruppi di dispositivi, e selezionare uno o più gruppi di dispositivi a cui assegnare il criterio. 4. Una volta effettuata la selezione, cliccare su Fine. 126 Guida in linea per amministratori Il criterio verrà assegnato ai dispositivi indicati, e verrà avviato automaticamente un processo di sincronizzazione per i dispositivi selezionati. 13.8 Download di profili e criteri dalla console web I profili e i criteri che sono stati configurati nella console web possono essere scaricati. Ciò è utile se, per esempio, si devono inoltrare le impostazioni definite al supporto Sophos. 1. Nella barra laterale del menù, navigare su Profili, criteri e cliccare sulla piattaforma del dispositivo. Verrà visualizzata la pagina Profili e criteri della piattaforma selezionata. 2. Cliccare sul nome del profilo o del criterio richiesto. Verrà visualizzata la pagina Mostra profilo o Mostra criterio. 3. Cliccare su Download. Il profilo o criterio verrà salvato nel computer locale come segue: ■ I profili iOS verranno salvati come file Plist XML con estensione .mobileconfig. ■ I profili Android verranno salvati come file XML con estensione .smcprofile. ■ I criteri per Android e iOS verranno salvati come file JSON. ■ ■ I criteri per Windows Mobile verranno salvati come file XML con estensione .windowsphoneconfig. I criteri per Windows Desktop verranno salvati come file XML con estensione .windowsdesktopconfig. 13.9 Regole di complessità della password per Windows Desktop Le regole di complessità della password (ad es. lunghezza, numero di caratteri maiuscoli e minuscoli) per i dispositivi Windows Desktop sono fisse, e non possono essere determinate da un criterio di Sophos Mobile Control. Ad account locali e Microsoft sono applicabili regole diverse. Account locali ■ La password non deve contenere il nome dell’account dell’utente, né più di due caratteri consecutivi del nome completo dell’utente. ■ La password deve includere un minimo di sei caratteri. ■ La password deve contenere caratteri che rientrano in tre di queste quattro categorie: ■ Caratteri A-Z maiuscoli (alfabeto latino) ■ Caratteri A-Z minuscoli (alfabeto latino) ■ Cifre 0-9 ■ Caratteri speciali (!, $, #, %, ecc.) 127 Sophos Mobile Control Account Microsoft 128 ■ La password deve includere un minimo di otto caratteri. ■ La password deve contenere caratteri che rientrano in due di queste quattro categorie: ■ Caratteri A-Z maiuscoli (alfabeto latino) ■ Caratteri A-Z minuscoli (alfabeto latino) ■ Cifre 0-9 ■ Caratteri speciali (!, $, #, %, ecc.) Guida in linea per amministratori 14 Utilizzo dei bundle delle operazioni Utilizzando i bundle delle operazioni è possibile raggruppare diverse operazioni in un'unica transazione. Ciò permette di inserire in un unico bundle tutte le operazioni necessarie per completare la registrazione e la configurazione di un dispositivo: ■ Registrazione del dispositivo. ■ Applicazione dei criteri richiesti. ■ Installazione delle applicazioni richieste (per es. app gestite per dispositivi iOS). ■ Applicazione dei profili richiesti. Nei bundle delle operazioni è inoltre possibile includere operazioni di cancellazione dei dati, in modo tale da effettuare la cancellazione automatica dei dispositivi non conformi (per es. in caso di jailbreak o root). Per ulteriori informazioni, consultare la sezione Regole di conformità a pagina 41. 14.1 Creazione di bundle delle operazioni 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni e quindi selezionare Android o Apple iOS. Verrà visualizzata la pagina Bundle delle operazioni. 2. Cliccare su Crea bundle delle operazioni. Verrà visualizzata la pagina Modifica bundle delle operazioni. 3. Inserire Nome, Versione e Descrizione. Nota: i campi obbligatori sono contrassegnati da un asterisco. 4. Sotto Sistemi operativi, scegliere i sistemi operativi a cui applicare il nuovo bundle delle operazioni. 5. Quando viene selezionata l'opzione Selezionabile per effettuare azioni di conformità, il bundle delle operazioni può essere caricato su un dispositivo non appena quest'ultimo violi una delle regole di conformità. Consultare la sezione Regole di conformità a pagina 41. Nota: Questa opzione verrà disabilitata durante la modifica di bundle delle operazioni esistenti, o nel caso in cui il bundle delle operazioni sia già utilizzato per effettuare azioni di conformità. 6. Cliccare su Crea operazione 7. Selezionare un tipo di operazione e cliccare su Avanti. La vista che verrà ora visualizzata dipende dal tipo di operazione selezionata. In ciascuna vista è possibile scegliere nomi significativi per le operazioni. I nomi prescelti per le operazioni verranno visualizzati durante l'installazione nel portale self-service. 8. Seguire i passaggi della procedura guidata per aggiungere l'operazione richiesta, e cliccare su Applica per creare l'operazione. 129 Sophos Mobile Control 9. Se richiesto, aggiungere altre operazioni al bundle delle operazioni. Suggerimento: È possibile modificare l'ordine di installazione delle operazioni utilizzando le frecce di ordinamento nella parte destra dell'elenco delle operazioni. 10. Una volta aggiunte tutte le operazioni necessarie al bundle delle operazioni, cliccare su Salva nella pagina Modifica bundle delle operazioni. Nota: Quando si apportano modifiche a un bundle delle operazioni utilizzato come Pacchetto iniziale nelle impostazioni del portale self-service, non sarà possibile eliminare l'operazione di registrazione. Vedere Configurazione delle impostazioni del portale self-service a pagina 26. Il bundle delle operazioni è ora disponibile per il trasferimento e verrà visualizzato nella pagina Bundle delle operazioni. 14.2 Duplicazione dei bundle delle operazioni Dal momento che la creazione di bundle delle operazioni può richiedere molto tempo, è possibile duplicare bundle delle operazioni già completati. Questa funzione può essere utile nel caso in cui si richiedano diversi bundle delle operazioni aventi operazioni simili. In questo caso ci si dovrà limitare ad aggiungere o cancellare alcune operazioni. Nota: è possibile duplicare bundle delle operazioni solo se non li si sta contemporaneamente modificando. le copie effettuate riporteranno il nome “Copy of” (Copia di) seguito dal nome del bundle originale. È possibile rinominare i bundle in base alle proprie necessità. 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni e quindi selezionare Android o Apple iOS. Verrà visualizzata la pagina Bundle delle operazioni. 2. Cliccare sul triangolo blu di fianco al bundle delle operazioni che si desidera copiare, quindi cliccare Duplica. Il bundle delle operazioni verrà duplicato e visualizzato nella pagina Bundle delle operazioni. È ora possibile apportare le modifiche necessarie al bundle delle operazioni. Per modificare il bundle delle operazioni, cliccare il triangolo blu situato di fianco e quindi selezionare Modifica. 14.3 Trasferimento dei bundle delle operazioni a dispositivi singoli o a gruppi di dispositivi 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Bundle delle operazioni e quindi selezionare Android o Apple iOS. Verrà visualizzata la pagina Bundle delle operazioni. 2. Cliccare sull'icona a forma di triangolo blu di fianco all'operazione richiesta, quindi cliccare su Trasferisci. Verrà visualizzata la pagina Seleziona dispositivi. 3. Questa pagina consente di: ■ ■ 130 Selezionare i singoli dispositivi su cui si desidera trasferire il bundle delle operazioni. Cliccare su Seleziona gruppi di dispositivi per aprire la pagina Seleziona gruppi di dispositivi, e selezionare uno o più gruppi di dispositivi per il trasferimento del bundle delle operazioni. Guida in linea per amministratori 4. Una volta effettuata la selezione, cliccare su Avanti. Verrà visualizzata la pagina Imposta data di esecuzione. 5. Sotto Data pianificata, selezionare Ora o indicare una Data e un Orario per l'esecuzione di questa operazione. 6. Cliccare su Fine. Viene aperta la vista Operazione. Il bundle delle operazioni verrà trasferito sui dispositivi selezionati alla data e all’ora specificate. 131 Sophos Mobile Control 15 Utilizzo delle app Le app in Sophos Mobile Control possono essere configurate in modo da essere disponibili per l’installazione dalla console web (installazione avviata dall’amministratore), oppure tramite l’app Sophos Mobile Control (installazione avviata dall’utente). Per rendere un’app disponibile in Sophos Mobile Control, è possibile procedere in uno dei seguenti modi: ■ Caricando il pacchetto dell’app sul server di Mobile Control. Questa opzione non è disponibile per le app Windows Mobile. ■ Fornendo un link all’app nel rispettivo app store. Per entrambe le opzioni, vedere la sezione Aggiungi app a pagina 132. Per installare un’app su un dispositivo, creare un bundle delle operazioni contenente un’operazione Installa app. Per i dispositivi Android e iOS, è possibile creare bundle delle operazioni di questo genere direttamente dalla pagina App. Vedere la sezione Installa app a pagina 133. 15.1 Aggiungi app Un’app può essere resa disponibile per l’installazione caricando il pacchetto dell’app, oppure fornendo un link all’app nel rispettivo app store. 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e successivamente selezionare la piattaforma a cui si desidera aggiungere l'app. 2. Nella pagina App, cliccare su Aggiungi app e selezionare: ■ ■ Pacchetto per Android o Pacchetto per iOS per aggiungere l’app tramite caricamento del pacchetto dell’app. Link per Android, Link per iOS o Link per Windows Mobile per aggiungere l’app fornendo un link al rispettivo app store. Nella pagina successiva vengono configurati i dettagli dell’app. Nota: Per i link iOS è possibile cliccare su Cerca su iTunes per cercare l’app nel database di iTunes. Quando viene selezionata un’app dall’elenco dei risultati della ricerca, i campi corrispondenti nella pagina Modifica link per iOS verranno popolati con i rispettivi valori di iTunes. 3. Inserire un Nome e facoltativamente una Versione per la nuova app. 4. Nel campo Identificatore app, inserire facoltativamente l’identificatore interno dell’app. Lasciare vuoto questo campo se non si conosce l’identificatore. Nella maggior parte dei casi Sophos Mobile Control sarà in grado di leggere il valore direttamente dall’app e di popolare automaticamente questo campo. 5. Nel campo Categoria app, inserire facoltativamente un nome della categoria, ad es. Consigliata. Quando verrà pubblicata nell’Enterprise App Store come descritto nel passaggio successivo, l’app verrà elencata in una sezione avente il nome specificato. 132 Guida in linea per amministratori 6. L’app può essere pubblicata nell’Enterprise App Store per consentire l’avvio dell’installazione per mano dell’utente. Cliccare su Mostra accanto a Disponibile per gruppi di dispositivi e selezionare uno o più gruppi di dispositivi per i quali l’app verrà visualizzata nell’Enterprise App Store. 7. Per i dispositivi iOS, selezionando Installazione gestita di SMC, l’app verrà installata come app gestita. 8. Nel campo di testo Descrizione, inserire facoltativamente una descrizione da visualizzare nell’Enterprise App Store. 9. Cliccare su Mostra accanto a Sistemi operativi, e selezionare le versioni di sistema operativo a cui applicare l’app. 10. Per i dispositivi Samsung KNOX, selezionando Installa nel contenitore KNOX, l’app verrà installata all’interno del contenitore KNOX. Questa opzione è disponibile solamente quando viene configurata una chiave di licenza KNOX Advanced nella pagina Impostazione del sistema. 11. Configurare l’origine dell’app. ■ Per i link all’app, inserire l’URL dell’app nel rispettivo app store all’interno del campo Link. Per determinare l’URL, cliccare sul link sotto il campo Link per aprire l’app store in una nuova scheda del browser e navigare sulla pagina dell’app. Copiare l’URL dalla barra degli indirizzi della scheda, e incollarlo nel campo Link. ■ Per i pacchetti di app, cliccare su Carica file per caricare il pacchetto sul server di Sophos Mobile Control. Cercare il file del pacchetto e cliccare su Apri. Nota: Le dimensioni del file del pacchetto devono essere inferiori a un certo limite. Nelle installazioni on-premise il limite viene configurato dal super administrator. In Sophos Mobile Control as a Service è impostato su 100 MB per pacchetto. 12. Una volta configurati i dettagli dell’app, cliccare su Salva per salvare le impostazioni dell’app e tornare alla pagina App. L'app è ora disponibile per l'installazione. Verrà visualizzata nella pagina App. Se è stato configurato il campo Disponibile per gruppi di dispositivi, l’app verrà anche visualizzata nell’Enterprise App Store dell'app Sophos Mobile Control, dove potrà essere installata dagli utenti. Il processo di installazione avverrà autonomamente o richiedendo interazioni minime da parte dell'utente. Per ulteriori informazioni sull’installazione delle app avviata dagli utenti, consultare la Guida in linea per utenti di Sophos Mobile Control. 15.2 Installa app Nota: Questa sezione è applicabile solamente ai dispositivi Android e iOS. Una volta aggiunte app a Sophos Mobile Control secondo le indicazioni della sezione Aggiungi app a pagina 132, sarà possibile effettuarne l’installazione manuale sui dispositivi o sui gruppi di dispositivi selezionati. 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su App, e successivamente su Android o Apple iOS. Verrà visualizzata la pagina App. 2. Nella pagina App, cliccare sul triangolo blu accanto all’app richiesta, e selezionare Installa. 133 Sophos Mobile Control 3. Selezionare i dispositivi su cui si desidera installare l’app. Procedere in uno dei seguenti metodi: ■ ■ Selezionare i singoli dispositivi. Cliccare su Seleziona gruppi di dispositivi e successivamente selezionare i gruppi di dispositivi. Una volta pronti per proseguire, cliccare su Avanti. 4. Nella pagina Imposta data di esecuzione, specificare la data in cui verrà installata l’app: ■ ■ Selezionare Ora per l’esecuzione immediata. Selezionare Data e successivamente inserire una data e un’ora per l’esecuzione pianificata. 5. Cliccare su Fine. L’app selezionata verrà installata sui dispositivi selezionati nella data specificata. Nei dispositivi iOS e sui dispositivi Android con il plugin Samsung SAFE, le app verranno installate in maniera silenziosa, ovvero senza alcuna interazione da parte dell’utente. 15.3 Disinstallazione delle app Nota: Questa sezione è applicabile solamente ai dispositivi Android e iOS. Una volta aggiunte app a Sophos Mobile Control secondo le indicazioni della sezione Aggiungi app a pagina 132, sarà possibile effettuarne la disinstallazione manuale dai dispositivi o dai gruppi di dispositivi selezionati. 1. Nella barra laterale del menù, sotto CONFIGURA, cliccare su App, e successivamente su Android o Apple iOS. 2. Nella pagina App, cliccare su Disinstalla. 3. Selezionare i dispositivi da cui si desidera disinstallare l’app. Procedere in uno dei seguenti metodi: ■ ■ Selezionare i singoli dispositivi. Cliccare su Seleziona gruppi di dispositivi e successivamente selezionare i gruppi di dispositivi. Una volta pronti per proseguire, cliccare su Avanti. 4. Nella pagina Seleziona app, selezionare l’app richiesta. 5. Nella pagina Imposta data di esecuzione, specificare la data in cui verrà disinstallata l’app: ■ ■ Selezionare Ora per l’esecuzione immediata. Selezionare Data e successivamente inserire una data e un’ora per l’esecuzione pianificata. 6. Cliccare su Fine. L’app selezionata verrà disinstallata dai dispositivi selezionati nella data specificata. Nei dispositivi iOS e nei dispositivi Android con plugin Samsung SAFE, le app gestite verranno disinstallate in maniera silenziosa, ovvero senza alcuna interazione da parte dell’utente. 134 Guida in linea per amministratori 15.4 Gestione delle app acquistate con l’Apple VPP Tramite l'Apple Volume Purchase Program (VPP), è possibile acquistare volumi di app iOS da distribuire all'interno della propria azienda. Una volta effettuato un ordine tramite Apple VPP, sarà possibile scaricare un sToken (token di servizio) contenente le licenze delle app acquistate. Nella console web di Sophos Mobile Control, è possibile fornire agli utenti le licenze incluse nell’sToken inviando loro un invito a diventare utenti autorizzati dell’Apple VPP. Una volta accettato l’invito, gli utenti diventeranno utenti autorizzati del VPP, per cui sarà possibile assegnare app VPP a tali utenti. Gli utenti potranno quindi utilizzare iTunes per installare sui propri dispositivi le app VPP assegnate. È possibile assegnare app VPP anche a dispositivi con iOS versione 9 o superiore. Non occorre invitare i dispositivi al VPP. Un’app VPP assegnata può essere installata su un dispositivo utilizzando Sophos Mobile Control. La procedura che consente di aggiungere nuovi utenti VPP varia a seconda che si utilizzi la gestione degli utenti interni o esterni di Sophos Mobile Control. Le istruzioni nelle prossime sezioni descriveranno entrambi gli scenari. Per informazioni sulla gestione degli utenti esterni ed interni, consultare la Guida per super administrator di Sophos Mobile Control. In alternativa, se si utilizza Sophos Mobile Control as a Service, vedere la sezione Configurazione della gestione degli utenti del portale self-service a pagina 31. Per ulteriori informazioni su come registrarsi e utilizzare l'Apple Volume Purchase Program, consultare la pagina Web http://www.apple.com/business/vpp/. Per informazioni dettagliate su come assegnare app VPP a utenti o dispositivi, vedere la sezione Assegnazione manuale di app VPP a pagina 138. 15.4.1 Impostazione di un sToken VPP Per fornire le licenze per le app acquistate utilizzando l’Apple Volume Purchase Program (VPP) in Sophos Mobile Control, è necessario impostare un sToken (token di servizio) nella console web. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema. 2. Nella pagina Impostazione del sistema, cliccare sulla scheda Apple VPP. 3. Cliccare sul link Portale Apple iTunes VPP. Così facendo, verrà aperto il portale web dell’Apple VPP in una nuova finestra del browser. 4. Su questa pagina, selezionare Imprese. 5. Nella finestra di dialogo Vai allo Store per le imprese, inserire il proprio ID Apple e la password. 6. Navigare sulla pagina Account Summary e cliccare su Download Token. L’sToken verrà così generato e salvato sul computer locale, con le impostazioni di download del browser web, in un file di testo avente estensione .vpptoken. 7. All’occorrenza, archiviare il file dell’sToken su un percorso che sia accessibile per la console web di Sophos Mobile Control. 135 Sophos Mobile Control 8. Tornare alla scheda Apple VPP della console web di Sophos Mobile Control, cliccare su Carica file, selezionare il file dell’sToken, e cliccare su Apri. Sophos Mobile Control leggerà il file e popolerà i campi Organizzazione e Data di scadenza secondo i dettagli forniti dall’sToken. 9. Nell’elenco Assegna automaticamente app VPP durante l’installazione, è possibile configurare l’assegnazione automatica di app VPP. Vedere la sezione Assegnazione automatica di app VPP a pagina 138 10. Facoltativamente è possibile compilare anche gli altri campi della scheda Apple VPP. Nel campo Paese, inserire il codice di due lettere del paese, ad es. US per gli Stati Uniti. 11. Cliccare su Salva. Nota: Per segnalare l’avvicinarsi della data di scadenza dell’sToken, Sophos Mobile Control invia diversi promemoria e-mail a tutti gli amministratori del cliente coinvolto a partire da 30 giorni prima della data di scadenza. 15.4.2 Invita gli utenti a iscriversi all’Apple VPP Prima di poter invitare gli utenti a iscriversi all’Apple Volume Purchase Program (VPP), occorre impostare un sToken. Vedere Impostazione di un sToken VPP a pagina 135. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Utenti. 2. Nella pagina Mostra utenti è possibile invitare all’Apple VPP tutti gli utenti, oppure singoli utenti specifici: ■ Per invitare tutti gli utenti: 1. Cliccare su Invita gli utenti a iscriversi all’Apple VPP in cima alla pagina Mostra utenti. 2. Cliccare su Sì nella casella di dialogo di conferma. ■ Per invitare un utente specifico: 1. Cliccare sul nome dell’utente che si desidera invitare. 2. Nella pagina Mostra utente, cliccare su Invita utenti al VPP. 3. Cliccare su Sì nella casella di dialogo di conferma. ■ Per invitare un utente specifico quando si utilizza la gestione utenti esterni e l’utente non ha ancora registrato alcun dispositivo: 1. Cliccare su Cerca e invita un utente a iscriversi all’Apple VPP in cima alla pagina Mostra utenti. 2. Nella casella di dialogo Cerca utente, cercare l’utente o per nome o per indirizzo e-mail. 3. Nell’elenco dei risultati di ricerca, selezionare l’utente che si desidera invitare all’Apple VPP. 4. Cliccare su Applica. Sophos Mobile Control invierà un invito tramite e-mail a tutti gli utenti specificati. Gli utenti dovranno seguire il link contenuto nella propria e-mail di invito per connettere il proprio account Apple iTunes all’Apple VPP. Sarà quindi possibile installare e utilizzare le app concesse in licenza all'azienda. Nota: 136 Guida in linea per amministratori Se si utilizza la gestione degli utenti esterni, e si invia a tutti gli utenti l’invito a iscriversi all’Apple VPP, gli utenti a cui non è stato assegnato un indirizzo e-mail verranno registrati per l’Apple VPP ma non riceveranno il link per connettere il proprio account Apple iTunes all’Apple VPP. Per informazioni su come completare il processo di registrazione al VPP in questo caso, vedere Invita gli utenti senza indirizzo e-mail a iscriversi all’Apple VPP a pagina 137. 15.4.3 Invita gli utenti senza indirizzo e-mail a iscriversi all’Apple VPP Prerequisito: Questa procedura richiede un account super administrator, per cui non è applicabile a Sophos Mobile Control as a Service. Quando si inviano inviti a utenti appartenenti a una directory utente esterna all’Apple VPP (come descritto nella sezione Invita gli utenti a iscriversi all’Apple VPP a pagina 136), gli utenti a cui non è stato assegnato un indirizzo e-mail verranno registrati per l’Apple VPP, ma non riceveranno il link per connettere il proprio account Apple iTunes all’Apple VPP. In tale eventualità, procedere come segue per completare il processo di registrazione all’Apple VPP. 1. Dopo aver effettuato l’accesso come super administrator di Sophos Mobile Control, scaricare i file di log del server. Consultare la Guida per super administrator di Sophos Mobile Control. 2. Identificare gli account degli utenti interessati consultando i file di log. 3. Nella barra laterale del menù della console web di Sophos Mobile Control, sotto GESTISCI, cliccare su Utenti. 4. Nella pagina Mostra utenti, cliccare su uno dei nomi degli utenti interessati. 5. Nella pagina Mostra utente, cliccare su Mostra link di invito. Nel caso di utenti esterni privi di indirizzo e-mail, questa funzione non invierà un invito tramite e-mail, bensì visualizzerà il link di invito in una finestra di messaggio. 6. Copiare il link dalla finestra di messaggio e comunicarlo all’utente. 7. Ripetere per tutti gli utenti interessati. Gli utenti dovranno seguire il link per connettere il proprio account Apple iTunes all’Apple VPP. 15.4.4 Gestione degli utenti dell’Apple VPP Quando si imposta un sToken per l’Apple VPP come indicato in Impostazione di un sToken VPP a pagina 135, la pagina Mostra utente di ciascun utente includerà una sezione Apple Volume Purchase Program (VPP). In questa sezione è possibile effettuare le seguenti operazioni per visualizzare o modificare lo stato Apple VPP dell’utente: ■ ■ Visualizzare lo stato Apple VPP dell'utente. Può essere: ■ Non registrato: L’utente non è stato invitato all’Apple VPP. ■ Registrato: L’utente è stato invitato all’Apple VPP, ma non ha connesso il proprio account Apple iTunes all’Apple VPP. ■ Associato: L’utente ha connesso il proprio account Apple iTunes all’Apple VPP e può installare app VPP. Visualizzare le app dell’Apple VPP che sono state installate dall’utente. 137 Sophos Mobile Control ■ Invitare l’utente all’Apple VPP, cliccando su Invita utente al VPP. Nella maggior parte dei casi verrà inviata all’utente un’e-mail con un link di invito. Se l’account utente non contiene un indirizzo e-mail, il link di invito verrà visualizzato in una finestra di messaggio. ■ Inviare un’altra e-mail di invito, se l’utente non dovesse aver ricevuto, oppure se dovesse aver perso, l’e-mail iniziale, cliccando su Invia di nuovo l'e-mail di invito. ■ Annullare la registrazione dell’utente all’Apple VPP cliccando su Cancella registrazione al VPP. 15.4.5 Assegnazione automatica di app VPP Per impostazione predefinita, le app acquistate con l’Apple Volume Purchase Program (VPP) vengono automaticamente assegnate al dispositivo su cui è installata l’app. Se il dispositivo non supporta l’assegnazione di app VPP, l’app viene assegnata all’utente che è assegnato al dispositivo. Nota: Per supportare l’assegnazione di app VPP, lo stato dei dispositivi deve essere ‘Gestito’, e i dispositivi devono utilizzare iOS versione 9 o successiva. L’ordine di precedenza può essere invertito, e favorire l’assegnazione a un utente piuttosto che a un dispositivo; in alternativa è anche possibile disattivare l’assegnazione automatica e assegnare invece le app VPP manualmente, come indicato nella sezione Assegnazione manuale di app VPP a pagina 138. L’assegnazione automatica di app VPP viene configurata in base al cliente. 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema. 2. Nella pagina Impostazione del sistema, cliccare sulla scheda Apple VPP. 3. Nell’elenco Assegna automaticamente app VPP durante l’installazione, selezionare l’opzione desiderata: ■ ■ ■ Prefer. al dispositivo: Se il dispositivo supporta questa opzione, l’app VPP viene assegnata al dispositivo. Altrimenti l’app VPP viene assegnata all’utente che è assegnato al dispositivo. Se non è assegnato alcun utente al dispositivo, non sarà possibile effettuare l’assegnazione dell’app. Prefer. all’utente: Se al dispositivo è assegnato un utente, l’app VPP viene assegnata all’utente in questione. Altrimenti, l’app viene assegnata al dispositivo. Se il dispositivo non supporta questa opzione, non sarà possibile effettuare l’assegnazione dell’app. Disabilitata: Le app VPP non vengono assegnate automaticamente. Selezionando questa opzione, occorrerà assegnare le app VPP manualmente. 15.4.6 Assegnazione manuale di app VPP Questa sezione descrive l’assegnazione manuale di singole app VPP. Per impostazione predefinita, le app acquistate con l’Apple Volume Purchase Program (VPP) vengono automaticamente assegnate al dispositivo su cui è installata l’app. Vedere la sezione Assegnazione automatica di app VPP a pagina 138. Le app acquistate con l’Apple Volume Purchase Program (VPP) possono essere assegnate a utenti o dispositivi. Dopo aver assegnato un’app VPP agli utenti che sono associati all’Apple VPP, questi ultimi potranno installare l’app in questione su tutti i dispositivi iOS che sono associati al loro ID Apple. Dopo aver assegnato un’app VPP ai dispositivi, è possibile effettuarne il push ai dispositivi con Sophos Mobile Control. 138 Guida in linea per amministratori Per assegnare un’app VPP a utenti o dispositivi: 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App > Apple iOS. Si aprirà la pagina App, che visualizza un elenco di app che sono state precedentemente aggiunte a Sophos Mobile Control. 2. Per aggiungere all’elenco di app le app acquistate tramite Apple VPP, cliccare su Importa app VPP. Questa operazione recupera le informazioni relative all’app dal server dell’Apple VPP, e all’occorrenza crea voci relative all’app in Sophos Mobile Control. 3. Cliccare sul triangolo blu di fianco all’app VPP che si desidera assegnare a un utente o un dispositivo, e successivamente cliccare su Modifica. 4. Nella pagina Modifica link per iOS, cliccare su Mostra accanto all’opzione Licenze VPP. Si aprirà la finestra di dialogo Licenze VPP. 5. Per assegnare l’app a uno o più utenti, cliccare su Utenti VPP e selezionare gli utenti desiderati. L’elenco contiene tutti gli utenti che sono stati registrati o associati all’Apple VPP. 6. Per assegnare l’app a uno o più dispositivi, cliccare su Dispositivi e selezionare i dispositivi desiderati. L’elenco contiene tutti i dispositivi con iOS versione 9 o superiore, aventi come stato Gestito. 7. Cliccare su Applica per confermare le modifiche effettuate e per chiudere la finestra di dialogo Licenze VPP. 8. Cliccare su Salva per salvare le modifiche e sincronizzare l’assegnazione dell’app con il server dell’Apple VPP. Suggerimento: Per eliminare le modifiche apportate all’assegnazione che sono state effettuate nella finestra di dialogo Licenze VPP, cliccare su Applica per chiudere la finestra di dialogo, e successivamente cliccare su Indietro per uscire dalla pagina Modifica link per iOS senza salvare le modifiche nel database. Per installare l’app assegnata su un dispositivo: ■ Una volta che l’app è stata assegnata agli utenti, viene elencata nella vista Acquistate nell’app iTunes dei dispositivi. Gli utenti possono installarla da questa vista. ■ Una volta assegnata ai dispositivi, l’app può essere installata utilizzando Sophos Mobile Control. Vedere la sezione Installa app a pagina 133. Per rimuovere l’assegnazione di un’app: ■ Aprire la finestra di dialogo Licenze VPP come precedentemente indicato, e deselezionare gli utenti o i dispositivi desiderati. Nota: Siccome lo stato delle app VPP viene gestito dal server dell’Apple VPP, potrebbe trascorrere del tempo prima che i dispositivi riflettano le modifiche effettuate in Sophos Mobile Control. 15.5 Configurazione per app VPN e impostazioni per app iOS Per le app iOS, è possibile selezionare un'app VPN che supporti la funzione iOS Per app VPN. Con questa funzione, le app possono essere configurate per connettersi automaticamente 139 Sophos Mobile Control a una VPN quando vengono avviate. È inoltre possibile configurare le impostazioni dell'app che verrà visualizzata nel dispositivo dell'utente finale durante la fase di installazione dell'app. Prerequisiti: ■ Per poter selezionare una VPN per app, è necessario definire una configurazione Per app VPN nel profilo di configurazione iOS disponibile nella console Web. Vedere le sezioni Creazione di profili e criteri per iOS a pagina 77 e Configurazioni disponibili per i profili iOS a pagina 78. ■ Per definire le impostazioni, è necessario conoscere i parametri ed il tipo di parametri necessari. 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su App e quindi su Apple iOS. 2. Nella pagina App, cliccare sul triangolo blu accanto all’app richiesta, e successivamente su Modifica. 3. Nella pagina Modifica link per iOS o Modifica pacchetto per iOS, cliccare su Mostra accanto al campo Impostazioni e VPN. 4. Nella pagina Modifica impostazioni e VPN, selezionare la configurazione necessaria dall'elenco Per app VPN, per definire la VPN a cui deve connettersi l’app. 5. Per aggiungere impostazioni gestite, cliccare su Crea un parametro. 6. Nella finestra di dialogo Parametro di configurazione, eseguire le seguenti configurazioni: a) Nel campo Parametro, inserire il parametro necessario, per esempio SMC_URL. b) Nel campo Valore, inserire il valore del parametro, ad es: smc.sophos.com. c) Nel campo Tipo, selezionare il tipo di parametro: String, Bool, Integer o Real. d) Cliccare su Applica. Le impostazioni gestite vengono visualizzate nella pagina Modifica impostazioni e VPN. 7. Nella pagina Modifica impostazioni e VPN, cliccare su Applica. 8. Cliccare su Salva. La VPN selezionata per l'app verrà utilizzata quando l'app si connette alla VPN. Le impostazioni verranno fornite ai dispositivi degli utenti finali durante l'installazione dell'app. 140 Guida in linea per amministratori 16 Utilizzo dei gruppi di app In Sophos Mobile Control è possibile creare gruppi di app che consentono di definire elenchi di app per profili, criteri e regole di conformità. I gruppi di app vengono utilizzati nelle seguenti impostazioni: ■ Nella configurazione App protection dei profili per i dispositivi Android. ■ Nella configurazione App control dei profili per i dispositivi Android. ■ Nella configurazione Restrizioni dei profili per i dispositivi Android, dei profili per i dispositivi iOS e dei profili per i contenitori KNOX. ■ Nella configurazione Restrizioni app per i dispositivi Windows Mobile. ■ Nelle regole di conformità per specificare elenchi di app consentite, proibite e obbligatorie. 16.1 Crea gruppo di app 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Gruppi di app e successivamente selezionare la piattaforma per cui si desidera creare il gruppo. 2. Dal menù Gruppo di app, cliccare su Crea gruppo di app. 3. Nella pagina Modifica gruppo di app, inserire un Nome per il nuovo gruppo di app e successivamente cliccare su Aggiungi app. 4. Nella finestra di dialogo Modifica app è possibile selezionare un’app da un elenco, oppure inserire dati personalizzati per l’app. ■ ■ Per selezionare un’app da un elenco, cliccare su Elenco app e selezionare un’app dall’elenco di tutte le app attualmente installate sui dispositivi gestiti per la piattaforma selezionata. Per inserire dati personalizzati per un’app Android, cliccare su Personalizza e configurare le seguenti informazioni: ■ ■ ■ Nome app: Un nome arbitrario da utilizzare per identificare l’app. Identificatore: Il nome del pacchetto dell’app. Il nome del pacchetto può essere recuperato dall’URL dell’app in Google Play. Ad esempio, per l’app Sophos Mobile Control per Android, l’URL di Google Play è https://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android, e il nome del pacchetto è com.sophos.mobilecontrol.client.android. Per inserire dati personalizzati per un’app iOS, cliccare su Personalizza e configurare le seguenti informazioni: ■ Nome app: Un nome arbitrario da utilizzare per identificare l’app. ■ Identificatore: L’identificatore interno dell’app. 141 Sophos Mobile Control ■ Per inserire dati personalizzati per un’app Windows Mobile, cliccare su Personalizza e configurare le seguenti informazioni: ■ ■ ■ Nome app: Un nome arbitrario da utilizzare per identificare l’app. Link: L’URL dell’app nel Windows Store. Ad esempio, l’URL Windows Store dell’app Sophos Mobile Control per Windows è https://www.microsoft.com/it-it/store/apps/mobile-control/9nblggh0g04v. GUID: Se è noto, il GUID dell’app può essere utilizzato al posto del link. Altrimenti, lasciare il campo vuoto. 5. Una volta selezionata un’app dall’elenco, oppure inseriti i dati personalizzati dell’app, cliccare su Aggiungi per effettuarne l'aggiunta al gruppo di app. 6. Se richiesto, aggiungere altre app al gruppo di app. 7. Una volta completate queste operazioni, cliccare su Salva per salvare il gruppo di app. 16.2 Importa gruppo di app È possibile creare un gruppo di app importando un file con valori delimitati da virgole (CSV) e con codifica UTF-8, che può includere sino a un massimo di 10.000 app. Nota: Utilizzare l'editor di testo per apportare modifiche al file CSV. Se si utilizza Microsoft Excel, i valori inseriti potrebbero non essere risolti in modo corretto. Verificare che il file venga salvato con l’estensione .csv. Suggerimento: Un file di esempio, in cui vengono riportati i nomi e l'ordine corretto delle colonne, è scaricabile dalla pagina Importa app. Per importare app da un file CSV e aggiungerle a un gruppo di app: 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Gruppi di app e successivamente selezionare la piattaforma per cui si desidera creare il gruppo. 2. Dal menù Gruppo di app, cliccare su Crea gruppo di app. 3. Nella pagina Modifica gruppo di app, inserire un Nome per il nuovo gruppo di app e successivamente cliccare su Importa app. 4. Nella pagina Importa app, cliccare su Carica file e navigare sul file CSV preparato in precedenza. Le voci verranno lette dal file e visualizzate. 5. Se i dati non vengono impostati nel giusto formato, o se sono inconsistenti, non sarà possibile importare l'intero file. In tale eventualità, esaminare i messaggi di errore visualizzati accanto alle relative voci, correggere il contenuto del file CSV a seconda di quanto richiesto e caricarlo nuovamente. 6. Cliccare su Fine per aggiungere le app al gruppo di app. 7. Nella pagina Modifica gruppo di app, cliccare su Salva. 142 Guida in linea per amministratori 17 Distribuzione di documenti aziendali Nota: per utilizzare questa funzionalità, è necessario disporre di una Licenza SMC Advanced per la gestione dell'app Sophos Secure Workspace. Nella console Web di Sophos Mobile Control è possibile caricare i file che si desidera distribuire agli utenti. ■ I documenti gestiti nella console Web di Sophos Mobile Control vengono aggiunti automaticamente all'archivio Documenti aziendali di Sophos Secure Workspace. ■ Nell'archivio Documenti aziendali presente nel dispositivo, la Categoria, definibile per ciascun documento, viene visualizzata come cartella. ■ Se Sophos Secure Workspace non è gestito da Sophos Mobile Control, l'archivio Documenti aziendali non sarà visibile. ■ I documenti presenti nell'archivio Documenti aziendali sono in sola lettura. Non potranno quindi essere modificati in Sophos Secure Workspace per poi essere ricaricati. Per distribuire documenti aziendali: 1. Installare sui dispositivi l’app Sophos Secure Workspace. Consultare la sezione Utilizzo delle app a pagina 132. 2. Assegnare un criterio del contenitore Sophos con una configurazione Documenti aziendali. 3. Aggiungere documenti nella console Web di Sophos Mobile Control. 17.1 Aggiunta di documenti aziendali Per distribuire documenti ai dispositivi: 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Documenti. Verrà visualizzata la pagina Documenti. 2. Cliccare su Aggiungi documento. Verrà visualizzata la pagina Modifica documento. 3. Inserire una categoria per il documento che si desidera aggiungere. ■ La Categoria è il nome della cartella dell'archivio Documenti aziendali del dispositivo in cui si trova il documento aggiunto. ■ Più file possono quindi appartenere alla stessa Categoria. ■ Se questo campo viene lasciato vuoto, il documento verrà attribuito alla cartella radice dell'archivio Documenti aziendali. 143 Sophos Mobile Control 4. Definire le impostazioni del documento: ■ Attivare l'opzione Copia negli Appunti per consentire agli utenti di copiare il documento negli Appunti. ■ Attivare l'opzione Condividi documento per consentire agli utenti di condividere il documento. ■ Attivare Utilizza documento off-line, per autorizzare l'utente a includere il documento nei Preferiti. Quando un documento in chiaro incluso nell'archivio Documenti aziendali viene contrassegnato come Preferito, viene archiviato, in formato cifrato, nella app Sophos Secure Workspace. Se è stata autorizzata la condivisione del documento, il file cifrato e incluso fra i Preferiti viene automaticamente decifrato prima di essere inoltrato ad altre app. Se vengono disattivate queste opzioni nella console web di Sophos Mobile Control, e se gli utenti hanno già copie off-line del documento, il file archiviato nel gruppo Preferiti di Sophos Secure Workspace dei dispositivi gestiti verrà automaticamente rimosso durante la sincronizzazione successiva. 5. Cliccare su Mostra, di fianco a Gruppi assegnati, e selezionare il gruppo a cui consentire accesso al documento. 6. Aggiungere una descrizione relativa al documento. 7. Cliccare su Carica file e selezionare il documento. Selezionarlo e cliccare su Apri. Le dimensioni del file del documento devono essere inferiori a un certo limite. Nelle installazioni on-premise il limite viene configurato dal super administrator. In Sophos Mobile Control as a Service è impostato su 5 MB per documento. 8. Ripetere questo passaggio per tutti i documenti che si desidera distribuire. Il documento viene aggiunto all'elenco dei documenti. Viene distribuito agli utenti che potranno visualizzarlo nella app Sophos Secure Workspace. 144 Guida in linea per amministratori 18 Gestione dei dispositivi Nella barra laterale dei menù, sotto GESTISCI > Dispositivi e Gruppi di dispositivi, è possibile monitorare tutti i dispositivi e i gruppi di dispositivi, nonché anche svolgere diverse operazioni di amministrazione. Dopo avere aggiunto dispositivi a Sophos Mobile Control, è possibile per esempio: ■ Visualizzare e modificare i dettagli dei dispositivi. ■ Consentire e vietare l'accesso alle e-mail per i dispositivi. ■ Bloccare o sbloccare i dispositivi in remoto. ■ Reimpostare passcode/password dei dispositivi. ■ Cancellare i dati dei dispositivi in remoto, in caso di smarrimento o furto. ■ Disattivare i dispositivi (Android e iOS). ■ Cancellare dispositivi. 18.1 Vista dispositivi 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi, che elenca tutti i dispositivi registrati a Sophos Mobile Control del cliente selezionato. 2. Individuare il dispositivo richiesto e cliccare sul suo nome Verrà visualizzata la pagina Mostra dispositivo per il dispositivo selezionato. 18.1.1 Pagina "Mostra dispositivo" Nella pagina Mostra dispositivo, vengono visualizzate tutte le informazioni di un dispositivo specifico. Nella parte alta della pagina vengono visualizzate le informazioni più importanti relative al dispositivo. Nella parte inferiore della pagina vengono visualizzate informazioni dettagliate sul dispositivo, suddivise in varie schede. Le schede e le informazioni visualizzate dipenderanno dalla piattaforma del dispositivo. ■ Profili (Android, iOS) Mostra i profili installati nel dispositivo. In questa scheda viene visualizzato il pulsante Installa profilo, che consente di installare un profilo sul dispositivo. È inoltre possibile rimuovere profili dal dispositivo, cliccando sull'icona Cancella, posizionata di fianco al profilo in questione. Questa scheda include anche i profili di provisioning. ■ Criteri Mostra i criteri assegnati al dispositivo. 145 Sophos Mobile Control In questa scheda viene visualizzato il pulsante Assegna criterio, che consente di assegnare un criterio al dispositivo. ■ Proprietà del dispositivo Mostra le proprietà del dispositivo, per esempio le proprietà relative al modello, nome del modello e versione del sistema operativo. Per i dispositivi Android, vengono rilevati gli smartphone rooted e visualizzate le relative informazioni. Per i dispositivi iOS, vengono rilevati gli smartphone jailbroken e visualizzate le relative informazioni. ■ Proprietà personalizzate Mostra le proprietà personalizzate del dispositivo. Si tratta di proprietà che è possibile creare autonomamente. Le proprietà personalizzate del dispositivo possono, per esempio, essere utilizzate per definire i segnaposto, nel caso non sia disponibile alcuna connessione ad Active Directory. Quando si modifica un dispositivo, qui è possibile aggiungere informazioni specifiche relative all'utente. ■ Proprietà interne Mostra le proprietà interne del dispositivo, per esempio il traffico di ActiveSync consentito, IMEI. ■ Violazioni alla conformità Questa scheda viene visualizzata solo per dispositivi non conformi. Mostra i casi di violazione della conformità del dispositivo, e le azioni intraprese come conseguenza della violazione. Queste azioni vengono definite durante la configurazione delle regole di conformità. Consultare la sezione Crea regole di conformità a pagina 41. ■ App installate (Android, iOS) Mostra il software installato nel dispositivo. Per i dispositivi iOS, la colonna Gestito nella scheda relativa alle app installate elenca le app gestite. Grazie a Sophos Mobile Control è possibile aggiungere tali app ai dispositivi iOS e rimuoverle automaticamente. Per i dispositivi Android, Sophos Mobile Control differenzia fra app di sistema e app installate nel dispositivo dall'utente. Per i dispositivi Android, vengono visualizzate le dimensioni dei dati utilizzati da ciascuna app presente nel dispositivo. Per i dispositivi iOS, viene visualizzato lo spazio occupato da ciascuna app a installazione avvenuta. Viene inoltre visualizzato qualsiasi spazio aggiuntivo richiesto. Lo spazio aggiuntivo potrebbe essere richiesto per effettuare download, configurazioni, impostazioni e così via. Nella parte in alto a sinistra di questa scheda viene visualizzato il pulsante Installa app. Questo pulsante consente di installare software nel dispositivo. È inoltre possibile rimuovere app gestite dal dispositivo iOS, cliccando sull'icona Cancella, posizionata di fianco alla app in questione. ■ App di sistema (Android) Mostra le app di sistema Android installate nel dispositivo. Nota: Le app di sistema non possono essere rimosse dal dispositivo. 146 Guida in linea per amministratori ■ App KNOX (Android) Questa scheda indica le app che l’utente ha installato nel contenitore KNOX. ■ App di sistema KNOX (Android) Questa scheda indica le app di sistema che sono installate nel contenitore KNOX. ■ Risultati scansione (Android) Questa scheda è presente solo se la funzionalità di Sophos Mobile Security è disponibile per il cliente a cui si è effettuato l'accesso. Mostra i risultati dell'ultima scansione di Sophos Mobile Security eseguita nel dispositivo. Sophos Mobile Security è un'app di protezione per dispositivi Android, che consente di proteggere i dispositivi da app malevoli, oltre che assistere gli utenti finali nel rilevamento di app autorizzate che potrebbero invece costituire un rischio per la sicurezza aziendale. L'app può essere gestita dalla console Web di Sophos Mobile Control. Per ulteriori informazioni, consultare la sezione Gestione di Sophos Mobile Security da Sophos Mobile Control a pagina 167. ■ Certificati Mostra i certificati in uso nel dispositivo. ■ Operazioni Questa scheda mostra tutte le operazioni non terminate e non riuscite del dispositivo, nonché anche tutte le operazioni completate con successo effettuate negli ultimi giorni. Queste operazioni, insieme alle operazioni per tutti gli altri dispositivi, possono essere visualizzate nella pagina Vista operazioni. Vedere la sezione Operazioni di monitoraggio a pagina 15. Dalla pagina Mostra dispositivo, è possibile passare direttamente alla pagina Modifica dispositivo. Per modificare il dispositivo attualmente visualizzato, cliccare su Modifica. 18.1.2 Utilizzo del filtro dei dispositivi esteso Il filtro dei dispositivi esteso consente di l'elenco dei dispositivi in base alle proprie esigenze specifiche. Per utilizzare il filtro dei dispositivi: 1. Nella pagina Dispositivi, cliccare sul pulsante Filtro esteso (icona a forma di lente di ingrandimento) nell'intestazione della console web. Verrà visualizzata la finestra di dialogo Filtro dispositivo: il filtro non è attivo. 2. Definire i criteri del filtro. 3. Una volta selezionati tutti i criteri desiderati, cliccare su Filtra. Il filtro viene attivato e l'elenco di dispositivi viene aggiornato. L'icona a forma di lente di ingrandimento presente nell'intestazione della console Web, passa dal colore blu a quello verde per indicare che il filtro è attivo. Per reimpostare il filtro, cliccare di nuovo su Filtro esteso e quindi su Ripristina nella finestra di dialogo del filtro. Nota: ricordare di rimuovere i filtri manualmente quando non più necessari. In caso contrario gli elenchi e i report prodotti potrebbero non includere i risultati attesi. 147 Sophos Mobile Control 18.2 Modifica dei dispositivi 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi, completa di tutti i dispositivi registrati a Sophos Mobile Control appartenenti al cliente selezionato. 2. Cliccare sull'icona a forma di triangolo blu di fianco al dispositivo richiesto, quindi cliccare su Modifica. Verrà visualizzata la pagina Modifica dispositivo per il dispositivo selezionato. 3. Apportare le necessarie modifiche (ad es. installazione o rimozione del software nella scheda App installate) e cliccare su Salva. Le modifiche vengono apportate ai dispositivi selezionati. Nota: le modifiche apportate alla proprietà sono valide solo dopo avere cliccato su Salva. Se non si salvano le modifiche apportate, non avranno alcun effetto. 18.2.1 Assegnazione di un utente a un dispositivo 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. 2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo richiesto e successivamente cliccare su Modifica. 3. Nella pagina Modifica dispositivo, cliccare sull’icona Modifica assegnazione utente accanto al campo Utente, e nell’elenco di selezione cliccare sulla voce richiesta: ■ ■ Per assegnare un utente a un dispositivo al quale non è stato ancora assegnato alcun utente, cliccare su Assegna utente al dispositivo. Per assegnare un utente diverso a un dispositivo al quale è già stato assegnato un utente, cliccare su Riassegna utente al dispositivo. 4. Nel passaggio Inserisci parametri di ricerca utente della finestra di dialogo dedicata all’assegnazione, inserire un parametro di ricerca in uno o più campi per filtrare l’elenco di utenti che verranno visualizzati nel passaggio successivo. È possibile ad esempio inserire il nome utente per intero, oppure una parte di esso. I parametri di ricerca disponibili dipenderanno dal metodo di gestione degli utenti utilizzato (directory utenti interna o esterna). 5. Nel passaggio Seleziona utente, selezionare l’utente desiderato e cliccare su Applica. 6. Nella pagina Modifica dispositivo, cliccare su Salva. 18.2.2 Annulla l'assegnazione di un utente a un dispositivo 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. 2. Nella pagina Dispositivi, cliccare sul triangolo blu accanto al dispositivo richiesto e successivamente cliccare su Modifica. 3. Nella pagina Modifica dispositivo, cliccare sull’icona Modifica assegnazione utente accanto al campo Utente, e successivamente cliccare su Annulla l'assegnazione dell'utente al dispositivo. 4. Nella finestra di dialogo di conferma, cliccare su Sì. 5. Cliccare su Salva. 148 Guida in linea per amministratori 18.2.3 Definizione di proprietà personalizzate per i dispositivi È possibile definire proprietà personalizzate per i singoli dispositivi. Definendo una proprietà avente nome proprietà 1, sarà possibile fare riferimento al valore della proprietà nei profili e nei criteri utilizzando il segnaposto %_DEVPROP(proprietà 1)_%. Questa definizione può essere utilizzata ad esempio per fare riferimento all’utente assegnato a un dispositivo. Per informazioni dettagliate sui segnaposti di profili e criteri, vedere Segnaposti all’interno di profili e criteri a pagina 125. Nota: ■ Non è possibile creare una proprietà del dispositivo personalizzata avente lo stesso nome di una proprietà del dispositivo standard. ■ Duplicando un dispositivo secondo quanto indicato nella sezione Duplicazione di un dispositivo a pagina 49, il nuovo dispositivo riceverà le proprietà personalizzate del dispositivo di origine. ■ Oltre alle proprietà personalizzate a livello di dispositivo qui indicate, è anche possibile definire proprietà personalizzate a livello del cliente. Vedere Definizione delle proprietà del cliente a pagina 23. Per definire una proprietà del dispositivo personalizzata: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Generale. Nella scheda Personale, verificare che l’opzione Mostra dettagli dispositivo estesi sia selezionata. 2. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi, completa di tutti i dispositivi registrati a Sophos Mobile Control appartenenti al cliente selezionato. 3. Cliccare sull'icona a forma di triangolo blu di fianco al dispositivo richiesto, quindi cliccare su Modifica. 4. Nella pagina Modifica dispositivo, navigare sulla scheda Proprietà personalizzate e cliccare su Aggiungi proprietà personalizzata. 5. Inserire un Nome e un Valore per la nuova proprietà personalizzata del dispositivo. 6. Cliccare su Applica per aggiungere la proprietà. 7. Cliccare su Salva per salvare le modifiche apportate al dispositivo. 18.2.4 Configurazione dell’accesso alla rete Prima di poter configurare l’accesso alla rete di un dispositivo, occorre abilitare Network Access Control (NAC) in Sophos Mobile Control. Nelle installazioni on-premise, NAC viene abilitato dal super administrator. Consultare la Guida per super administrator di Sophos Mobile Control. Per Sophos Mobile Control as a Service, NAC è sempre abilitato. Per configurare l'accesso alla rete di un dispositivo, vi sono due opzioni: 1. L’autorizzazione o il blocco categorico dell’accesso alla rete. 2. La disattivazione dell'accesso alla rete quando il dispositivo viola una delle regole di conformità, mentre in qualsiasi altro caso l’accesso alla rete è abilitato. 149 Sophos Mobile Control Nota: Sophos Mobile Control non controlla direttamente l’accesso alla rete, bensì fornisce uno stato Nega rete che può essere utilizzato da software NAC esterni, quali Sophos UTM, per bloccare le comunicazioni di rete. Per configurare l'accesso alla rete di un dispositivo: 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. 2. Nella pagina Dispositivi, selezionare i dispositivi per i quali si desidera impostare la modalità di accesso alla rete. 3. Cliccare su Azioni e quindi su Imposta l'accesso alla rete. 4. Selezionare la modalità di accesso alla rete: ■ ■ ■ Consenti: L’accesso alla rete verrà autorizzato per i dispositivi selezionati. Negato: L’accesso alla rete verrà negato ai dispositivi selezionati. Modalità automatica: L’accesso alla rete per i dispositivi selezionati verrà concesso in base allo stato di conformità dei dispositivi. 5. Cliccare su Sì per salvare le modifiche. Per informazioni su come configurare l’accesso alla rete nelle regole di conformità, vedere Crea regole di conformità a pagina 41. 18.3 Registrazione dei dispositivi tramite console Web di Sophos Mobile Control Una volta aggiunti nuovi dispositivi alla console web, occorre effettuarne la registrazione a Sophos Mobile Control. La console web offre le seguenti opzioni: ■ La registrazione di dispositivi individuali e non gestiti può essere effettuata utilizzando la funzione Dispositivi. Per ulteriori informazioni, consultare la sezione Registrazione di dispositivi singoli a pagina 151. ■ La procedura guidata di registrazione può essere utilizzata per aggiungere un dispositivo a Sophos Mobile Control, assegnarlo a un utente, registrarlo, e trasferire un bundle delle operazioni di registrazione. Consultare la sezione Utilizzo della procedura guidata di registrazione del dispositivo per assegnare e registrare nuovi dispositivi a pagina 151. Nota: All’occorrenza, è possibile utilizzare la procedura guidata di registrazione, oppure il metodo di registrazione automatica, per registrare i dispositivi iOS senza un ID Apple. Questa opzione può essere utile, ad esempio, per preconfigurare un dispositivo prima di fornirlo in dotazione a un utente. Vedere Registrazione di dispositivi iOS senza ID Apple a pagina 153. Per effettuare la registrazione e la configurazione di dispositivi multipli in maniera pratica ed efficace, si consigliano i seguenti metodi: 150 ■ È possibile inserire in un bundle le operazioni necessarie per la registrazione dei dispositivi, applicarvi i criteri richiesti e installare le applicazioni desiderate (ad es. app gestite per i dispositivi iOS). Per ulteriori informazioni, consultare la sezione Utilizzo dei bundle delle operazioni a pagina 129. ■ È possibile permettere agli utenti finali di registrare ed effettuare loro stessi il provisioning tramite portale self-service. Per usufruire di questa opzione, includere un bundle delle operazioni per la registrazione durante la configurazione delle impostazioni del portale self-service. Per ulteriori informazioni su come creare i bundle delle operazioni richiesti per la registrazione, consultare la Guida di avvio di Sophos Mobile Control o la Guida di avvio di Sophos Mobile Control as a Service. Per ulteriori informazioni sulla modalità di selezione del bundle delle operazioni nelle impostazioni del portale self-service, consultare Guida in linea per amministratori la sezione Configurazione delle impostazioni del portale self-service a pagina 26. Per ulteriori informazioni sul portale self-service e su come utilizzarlo, consultare le Guida in linea per utenti di Sophos Mobile Control. 18.3.1 Registrazione di dispositivi singoli 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Selezionare il dispositivo desiderato, cliccare su Azioni quindi cliccare su Registrati. Nota: è possibile selezionare più dispositivi da registrare. 3. Se si desidera registrare i dispositivi selezionati, cliccare su Sì quando richiesto. L'operazione di registrazione verrà avviata e visualizzata nella pagina Vista operazioni. Agli utenti sarà inviata un'e-mail contenente le istruzioni su come installare l'app Sophos Mobile Control sui propri dispositivi. 18.3.2 Utilizzo della procedura guidata di registrazione del dispositivo per assegnare e registrare nuovi dispositivi I nuovi dispositivi possono essere registrati in maniera molto semplice, grazie alla procedura guidata di registrazione del dispositivo. Offre un flusso di lavoro che unisce e combina le seguenti operazioni: ■ Aggiunta di un nuovo dispositivo a Sophos Mobile Control. ■ Assegnazione del dispositivo a un utente (opzionale). ■ Registrazione del dispositivo. ■ Trasferimento della registrazione di un bundle delle operazioni specifico al dispositivo (opzionale). Per avviare la procedura guidata di registrazione del dispositivo: 1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi, e successivamente su Aggiungi > Procedura guidata di registrazione. Suggerimento: In alternativa, la procedura guidata può essere avviata dalla pagina Pannello di controllo, cliccando sul widget Aggiungi dispositivo. 2. Nella pagina Inserisci parametri di ricerca utente della procedura guidata, è possibile inserire i criteri di ricerca per l'individuazione di un utente a cui assegnare il dispositivo, oppure selezionare Salta assegnazione utente per registrare un dispositivo che per il momento non si desidera assegnare ad alcun utente. Cliccare su Avanti per continuare. 3. Una volta inserito un criterio di ricerca, la procedura guidata visualizzerà un elenco di utenti corrispondenti. Selezionare un utente specifico e cliccare su Avanti. 151 Sophos Mobile Control 4. Nella pagina Dettagli dispositivo della procedura guidata, configurare le seguenti impostazioni: Opzione Descrizione Piattaforma La piattaforma del dispositivo. È possibile selezionare solamente una piattaforma che sia abilitata per il cliente selezionato in fase di accesso. Nome Un nome univoco che contraddistinguerà il dispositivo per la gestione con Sophos Mobile Control. Descrizione Una descrizione opzionale del dispositivo. Numero telefonico Un numero di telefono opzionale. Inserire il numero, completo di prefisso internazionale, ad esempio: +491701234567. Indirizzo e-mail L'indirizzo e-mail a cui inviare le istruzioni per la registrazione. Proprietario Selezionare il proprietario del dispositivo: Azienda o Dipendente. Gruppo di dispositivi Selezionare il gruppo a cui verrà assegnato il dispositivo. Se non sono ancora stati creati gruppi di dispositivi, è possibile selezionare il gruppo Predefinito, che è sempre disponibile. Una volta pronti per proseguire, cliccare su Avanti. 5. Nella pagina Selezione del bundle della procedura guidata, scegliere un bundle delle operazioni da trasferire al dispositivo a registrazione completata, oppure selezionare Registra solo il dispositivo per registrare il dispositivo senza trasferire un bundle delle operazioni. Nota: Vengono visualizzati solamente i bundle delle operazioni contenenti un’operazione Registra. Una volta pronti per proseguire, cliccare su Avanti. Il dispositivo verrà così aggiunto a Sophos Mobile Control. 6. Nella pagina Registrazione della procedura guidata, seguire le istruzioni indicate per installare l'app Sophos Mobile Control sul dispositivo e per completare il processo di registrazione e provisioning. 7. Una volta completata la registrazione, cliccare su Fine per chiudere la procedura guidata di registrazione del dispositivo. Nota: ■ ■ ■ 152 Una volta effettuate tutte le selezioni, è possibile chiudere la procedura guidata senza dover attendere che compaia il pulsante Fine. Un’operazione di registrazione verrà così creata ed elaborata in background. Se è stato selezionato un bundle delle operazioni da trasferire sul dispositivo dopo la registrazione, sarà possibile monitorare lo stato dell’operazione nella pagina Vista operazioni. Consultare la sezione Vista delle operazioni non completate, non riuscite e appena concluse a pagina 15. Per i dispositivi iOS, una volta configurato Sophos Mobile Control per la sincronizzazione del nome del dispositivo con il dispositivo (come descritto in Configurazione delle Guida in linea per amministratori impostazioni per iOS a pagina 21), il nome inserito nel campo Nome verrà ignorato, e al suo posto sarà utilizzato il nome configurato nel dispositivo. 18.3.3 Registrazione di dispositivi iOS senza ID Apple È possibile registrare un dispositivo iOS a Sophos Mobile Control senza dover prima associare il dispositivo in questione a un ID Apple. Questa opzione può essere utile, ad esempio, per preconfigurare un dispositivo prima di fornirlo in dotazione a un utente. Il metodo di registrazione standard include l’installazione dell’app Sophos Mobile Control sul dispositivo. Poiché l’app viene installata dall’App Store, e siccome per accedere all’App Store serve un ID Apple, occorrerà associare il dispositivo all’ID prima di avviare la registrazione. Alternativamente, è possibile effettuare la registrazione di un dispositivo iOS senza installare l’app Sophos Mobile Control, in modo tale che non occorra associare il dispositivo a un ID Apple. Ciò può avvenire con: ■ Il metodo di registrazione automatica. Vedere la sezione Registrazione automatica di dispositivi iOS a pagina 155. ■ La procedura guidata di registrazione del dispositivo. Consultare la sezione Utilizzo della procedura guidata di registrazione del dispositivo per assegnare e registrare nuovi dispositivi a pagina 151. Nella procedura guidata di registrazione del dispositivo, procedere come segue: 1. Nella pagina Registrazione, selezionare la scheda Registrazione senza ID Apple. 2. Utilizzare il browser web del dispositivo per aprire l’URL di registrazione. Verrà aperto un modulo di registrazione di Sophos Mobile Control. 3. Inserire il token nel modulo e cliccare su Registra. 4. Seguire le istruzioni visualizzate sul dispositivo per installare il bundle delle operazioni di registrazione. 18.4 Disattivazione dei dispositivi È possibile disattivare i dispositivi Android e iOS che non verranno più utilizzati, ad esempio nel caso in cui un utente abbia un nuovo dispositivo. Questa opzione è utile se, per esempio, è stato imposto un limite al numero di dispositivi che un utente può registrare utilizzando il portale self-service. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi, completa di tutti i dispositivi registrati a Sophos Mobile Control appartenenti al cliente selezionato. 2. Selezionare il dispositivo desiderato, cliccare su Azioni e successivamente su Annulla registrazione. Viene visualizzato un messaggio che richiede la conferma di voler disattivare il dispositivo. Nota: È possibile selezionare vari dispositivi diversi per annullare la registrazione. 3. Cliccare su Sì. Il dispositivo è disattivato. Ciò comporta quanto presentato qui di seguito: Dispositivi Android: ■ L'amministratore del dispositivo di Sophos Mobile Control Client è disabilitato. ■ I dati di accesso al server e tutti gli altri dati ricevuti vengono rimossi. 153 Sophos Mobile Control ■ Vengono reimpostate le app contenitore (Sophos Secure Workspace e Sophos Secure Email) e Sophos Mobile Security. Dispositivi iOS: ■ Vengono rimossi tutti i profili. ■ Vengono rimosse tutte le app gestite. ■ Tutti i certificati ricevuti tramite Mobile Device Management vengono rimossi. ■ Vengono reimpostate le app contenitore (Sophos Secure Workspace e Sophos Secure Email). 18.5 Gruppi di dispositivi I gruppi di dispositivi vengono utilizzati per categorizzare i dispositivi. I dispositivi vengono assegnati ai gruppi quando li si aggiunge alla gestione dei dispositivi di Sophos Mobile Control, manualmente o per importazione. È possibile modificare il gruppo di appartenenza del dispositivo. Un dispositivo appartiene sempre a un gruppo di dispositivi. Si consiglia di organizzare i dispositivi in gruppi. Ciò ne consentirà una gestione efficace, dal momento che sarà possibile effettuare operazioni sui gruppi piuttosto che ripeterle per ciascun singolo dispositivo. Nota: si consiglia di unire nello stesso gruppo solo dispositivi aventi lo stesso sistema operativo. Ciò semplificherà l'uso dei gruppi per le attività di installazione e per altre operazioni specifiche del sistema operativo. Per informazioni sulla creazione di gruppi di dispositivi, consultare la sezione Creazione di gruppi di dispositivi a pagina 154. 18.5.1 Creazione di gruppi di dispositivi Si consiglia di organizzare i dispositivi in gruppi. Ciò ne consentirà una gestione efficace, dal momento che sarà possibile effettuare operazioni sui gruppi piuttosto che ripeterle per ciascun singolo dispositivo. Nota: si consiglia di unire nello stesso gruppo solo dispositivi aventi lo stesso sistema operativo. Ciò semplificherà l'uso dei gruppi per le attività di installazione e per altre operazioni specifiche del sistema operativo. Per creare un nuovo gruppo di dispositivi: 1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Gruppi dispositivi, e successivamente su Crea gruppo di dispositivi. 2. Nella pagina Modifica il gruppo di dispositivi, inserire un Nome e una Descrizione per il nuovo gruppo di dispositivi. 3. Nella sezione Regole di conformità, utilizzare gli elenchi Dispositivi aziendali e Dispositivi personali, per selezionare le regole di conformità che si desidera applicare. 4. Cliccare su Salva. Nota: Le impostazioni del gruppo di dispositivi includono l'opzione Consenti la registrazione automatica. Questa opzione consente di effettuare la registrazione dei dispositivi iOS all'Apple Configurator. Il nuovo gruppo verrà così creato e visualizzato nella pagina Gruppi di dispositivi. 154 Guida in linea per amministratori 18.5.2 Eliminazione di gruppi di dispositivi 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Gruppi di dispositivi. 2. Nella pagina Gruppi di dispositivi, cliccare sul triangolo blu accanto al gruppo di dispositivi che si desidera eliminare, e successivamente su Elimina. 3. Nella finestra di dialogo di conferma, selezionare uno dei rimanenti gruppi di dispositivi per riassegnare a un altro gruppo i dispositivi del gruppo di dispositivi appena eliminato. Questa selezione non sarà disponibile se al gruppo eliminato non è stato assegnato alcun dispositivo. 4. Cliccare su Sì per eliminare il gruppo di dispositivi. Nota: Non sarà possibile eliminare un gruppo di dispositivi nel caso in cui sia l’ultimo rimanente, e qualora fossero presenti dispositivi ad esso assegnati. 18.6 Registrazione automatica di dispositivi iOS I dispositivi iOS possono essere configurati in modo da registrarsi automaticamente a Sophos Mobile Control durante l’attivazione del dispositivo. Per svolgere questa operazione, occorre utilizzare Apple Configurator 2 per assegnare i dispositivi al server di MDM di Sophos Mobile Control. Quando gli utenti accenderanno i dispositivi per la prima volta, verrà avviata l’Impostazione Assistita di iOS. Durante l’impostazione, i dispositivi vengono registrati automaticamente a Sophos Mobile Control. Nota: Per una descrizione dettagliata di Apple Configurator 2, consultare la Guida in linea di Apple Configurator 2. Per configurare la registrazione automatica di dispositivi iOS a Sophos Mobile Control: 1. Come operazione da effettuare una sola volta per preparare i dispositivi alla registrazione automatica, creare un gruppo di dispositivi da assegnare ai dispositivi durante la registrazione automatica a Sophos Mobile Control. Nelle proprietà del gruppo di dispositivi, selezionare l'opzione Consenti la registrazione automatica. Consultare la sezione Creazione di gruppi di dispositivi a pagina 154. 2. Prendere nota dell'URL visualizzato nel campo URL per la registrazione automatica del gruppo di dispositivi. Questo URL sarà richiesto durante la configurazione dei dispositivi con Apple Configurator 2. 3. Connettere alla porta USB di un Mac su cui è installato Apple Configurator 2 il dispositivo iOS che si desidera registrare automaticamente. 4. In Apple Configurator 2, utilizzare l’assistente alla preparazione per impostare la configurazione del dispositivo. 5. Selezionare Registrazione manuale, e successivamente inserire l’URL per la registrazione automatica corrispondente al gruppo di dispositivi. 6. Seguire i passaggi successivi dell’assistente alla preparazione. Opzionalmente, è possibile configurare i seguenti aspetti dell'attivazione del dispositivo: ■ ■ ■ ■ Abilitare la modalità di supervisione del dispositivo. Configurare i computer host ai quali il dispositivo è autorizzato a connettersi tramite porte USB. Per i dispositivi supervisionati, generare o selezionare un’"identità di supervisione". Disattivare i passaggi di configurazione dell’Impostazione Assistita di iOS. 155 Sophos Mobile Control Una volta completata la configurazione, fornire il dispositivo all’utente. Quando l’utente accenderà il proprio dispositivo per la prima volta, verranno effettuate sia l’impostazione di iOS che la registrazione a Sophos Mobile Control secondo le configurazioni specificate. Suggerimento: Per impostazione predefinita, Sophos Mobile Control gestisce i dispositivi che effettuano la registrazione automatica con un nome che è composto da ID del dispositivo e tipo di dispositivo. Alternativamente, Sophos Mobile Control può utilizzare il nome configurato nel dispositivo. Vedere l'opzione Sincronizza nome del dispositivo nella sezione Configurazione delle impostazioni per iOS a pagina 21. 18.7 Gestione dei dispositivi acquistati con l’Apple DEP L’Apple Device Enrollment Program (DEP), consente di acquistare una quantità di di dispositivi iOS (e OS X) da distribuire all’interno della propria azienda. Il DEP semplifica la distribuzione dei dispositivi mobili, offrendo le seguenti funzioni: ■ Processo di attivazione configurabile. ■ Attivazione wireless della modalità di supervisione. ■ Configurazione over-the-air. ■ Registrazione automatica dei dispositivi iOS a Sophos Mobile Control durante l’attivazione del dispositivo. Suggerimento: Per informazioni dettagliati sul DEP, visitare il sito web dell’Apple DEP su http://www.apple.com/business/dep/. Passaggi di preparazione Per preparare la gestione dei dispositivi DEP con Sophos Mobile Control, procedere come segue, con questi passaggi da effettuare una sola volta: 1. Nel portale web dell’Apple DEP, creare un server di MDM virtuale e connetterlo a Sophos Mobile Control. Vedere Impostazione di un server di MDM virtuale a pagina 157. 2. In Sophos Mobile Control, creare uno o più profili DEP che controllino attributi dei dispositivi di vario genere, e che siano nello specifico inerenti al DEP. Nel profilo DEP è anche possibile personalizzare l’assistente di configurazione iOS che si avvia quando si accende un dispositivo per la prima volta. Vedere Creazione di un profilo DEP a pagina 158. Passaggi di distribuzione Quando si acquistano dispositivi DEP, il tipico processo di distribuzione include i seguenti passaggi: 1. Acquisto dei dispositivi da Apple o da un rivenditore DEP ufficiale. 2. Nel portale web dell’Apple DEP, assegnare i dispositivi al server di MDM di Sophos Mobile Control. Per questo passaggio e per quello successivo, vedere Distribuzione dei dispositivi DEP a pagina 161. 3. Dalla console web di Sophos Mobile Control, assegnare un profilo DEP ai dispositivi. 4. Procedere con la distribuzione dei dispositivi agli utenti. 5. Quando gli utenti accenderanno i dispositivi per la prima volta, verrà avviato l’assistente di configurazione iOS personalizzato. Durante il setup, i dispositivi verranno registrati a Sophos Mobile Control e l’utente sarà assegnato al dispositivo. 6. All’occorrenza è possibile trasferire ulteriori bundle delle operazioni sui dispositivi, per completare il processo di provisioning. 156 Guida in linea per amministratori 18.7.1 Impostazione di un server di MDM virtuale Prerequisito: In questa procedura si presume che sia già stata effettuata la registrazione all’Apple Device Enrollment Program (DEP), e che sia già stato impostato un account amministratore per il portale web dell’Apple DEP. Nota: Per informazioni dettagliate sulla registrazione al DEP, visitare il sito web dell’Apple DEP su http://www.apple.com/it/business/programs/, oppure consultare la Guida in linea degli Apple Deployment Program. Suggerimento: Se si è già effettuata la registrazione all’Apple Volume Purchase Program (VPP), è possibile utilizzare lo stesso ID Apple anche per il DEP. Per utilizzare l’Apple DEP con Sophos Mobile Control, occorre creare un server di MDM virtuale sul portale web dell’Apple DEP, e connetterlo al server di Sophos Mobile Control. Il procedimento include un processo di verifica per stabilire una connessione sicura tra Sophos Mobile Control e il servizio web dell’Apple DEP. Per impostare un server di MDM virtuale per Sophos Mobile Control: 1. Accedere alla console web di Sophos Mobile Control utilizzando un account amministratore del cliente per il quale si desidera gestire i dispositivi DEP. 2. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema, e successivamente cliccare sulla scheda Apple DEP. 3. Cliccare su Scarica chiave pubblica per scaricare il file della chiave pubblica di Sophos Mobile Control per l’Apple DEP. Il file verrà salvato sul computer locale utilizzando le impostazioni del browser web utilizzato. 4. Aprire il portale web dell’Apple DEP su https://deploy.apple.com in una nuova finestra del browser. Questa azione può essere effettuata cliccando sul link Portale web di Apple DEP in Sophos Mobile Control. 5. Accedere al portale web dell’Apple DEP con il proprio ID Apple aziendale. 6. Nel portale, navigare su Programma di registrazione dispositivi > Gestione dei server, e cliccare su Aggiungi server MDM. 7. Inserire un nome per il server di MDM, ad es. Sophos Mobile Control. 8. Nel passaggio successivo, caricare il file della chiave pubblica, precedentemente scaricato da Sophos Mobile Control. 9. Nella fase successiva, scaricare il token del server. A questo punto sarà possibile disconnettersi dal portale web dell’Apple DEP. 10. Nella scheda Apple DEP di Sophos Mobile Control, cliccare su Carica file e selezionare il token del server precedentemente scaricato dal portale web dell’Apple DEP. Verranno visualizzati i dettagli dei server di MDM virtuali. 11. Cliccare su Salva per salvare le modifiche applicate. Il token del server DEP è valido per un anno. Per segnalare l’avvicinarsi della data di scadenza del token, Sophos Mobile Control invia diversi promemoria e-mail a tutti gli amministratori del cliente coinvolto a partire da 30 giorni prima della data di scadenza. Importante: Quando si crea un nuovo token del server nel portale web dell’Apple DEP, occorre utilizzare lo stesso ID Apple adoperato per la creazione del token iniziale. 157 Sophos Mobile Control 18.7.2 Creazione di un profilo DEP Prima di poter creare profili DEP occorre impostare l’Apple Device Enrollment Program (DEP). Vedere Impostazione di un server di MDM virtuale a pagina 157. Un profilo DEP viene assegnato a un dispositivo DEP, inviando informazioni al server Apple al momento dell’attivazione del dispositivo. Queste informazioni includono: ■ Il server di MDM (ovvero Sophos Mobile Control) assegnato per la gestione del dispositivo. ■ Le opzioni di configurazione per la registrazione a Sophos Mobile Control. ■ Un elenco di host ai quali il dispositivo è autorizzato ad associarsi. ■ Le opzioni di personalizzazione per l’Impostazione Assistita di iOS che si avvia quando il dispositivo viene acceso per la prima volta. Se richiesto, è possibile creare profili DEP diversi per utilizzare impostazioni di configurazione e registrazione diverse per i propri dispositivi DEP. Per creare un profilo DEP: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema, e successivamente cliccare sulla scheda Profili Apple DEP. 2. Cliccare su Aggiungi. 3. Nella finestra di dialogo Modifica profilo DEP, inserire un nome e facoltativamente una descrizione per il profilo DEP. 4. Nell’elenco Gruppo di dispositivi, è possibile opzionalmente selezionare un gruppo di dispositivi da assegnare ai dispositivi al momento della loro registrazione a Sophos Mobile Control. Per informazioni sui gruppi di dispositivi, consultare la sezione Gruppi di dispositivi a pagina 154. Nota: Per semplificare la gestione dei dispositivi, si consiglia di utilizzare un gruppo di dispositivi diverso per i dispositivi DEP 158 Guida in linea per amministratori 5. Nella scheda Registrazione, è possibile configurare le seguenti impostazioni: Opzione Descrizione Supervisiona dispositivo La modalità di supervisione è abilitata. L'utente può rimuovere il profilo di MDM L’utente è in grado di rimuovere il profilo di registrazione a Sophos Mobile Control dall’interfaccia utente di iOS. È possibile deselezionare questa opzione solamente per i dispositivi supervisionati. Installa l’app SMC Installare l'app di Sophos Mobile Control sul dispositivo. Abilitando questa opzione, occorre anche disattivare l’opzione Salta ID Apple nella scheda Impostazione di iOS, per consentire a Sophos Mobile Control di installare l’app dall’App Store. Nota: In alternativa, se si è iscritti all’Apple Volume Purchase Program (VPP), l’app Sophos Mobile Control può essere installata come app VPP anche se il dispositivo non è associato a un ID Apple. Lo stato dei dispositivi deve essere ‘Gestito’, e i dispositivi devono utilizzare iOS versione 9 o successiva. Vedere la sezione Assegnazione automatica di app VPP a pagina 138. L’utente può saltare l'assegnazione del profilo di MDM L’utente sarà in grado di saltare il passaggio di impostazione che applica il profilo di registrazione a Sophos Mobile Control. Assegna utente al dispositivo Durante il processo di registrazione a Sophos Mobile Control, gli utenti dovranno fornire le proprie credenziali del portale self-service, e successivamente verranno assegnati al dispositivo. Utilizzare questa opzione per assegnare automaticamente un utente al dispositivo. 159 Sophos Mobile Control 6. Sotto la scheda Impostazione di iOS, è possibile disattivare i passaggi di configurazione dell’Impostazione Assistita di iOS che si avvia quando il dispositivo viene acceso per la prima volta. Nota: Queste impostazioni riguardano solamente l’impostazione di iOS. Se viene disattivato un passaggio di configurazione, l’utente sarà pur sempre in grado di abilitare l’opzione richiesta in un secondo momento. Per disattivare completamente una funzionalità, utilizzare una configurazione di tipo Restrizioni. Vedere la sezione Restrizioni a pagina 79. Opzione Descrizione Salta App & Dati La pagina App & Dati non verrà visualizzata. L’utente non sarà in grado di ripristinare i dati da un backup di iCloud o iTunes, né di trasferire dati da un dispositivo Android. Disattiva "Trasferisci dati da Android" Nella pagina App & Dati non sarà disponibile l’opzione Trasferisci dati da Android. L’utente non sarà in grado di trasferire dati da un dispositivo Android. Questa opzione può essere abilitata solamente quando è attivata anche Salta App & Dati. 160 Salta diagnostica La pagina Diagnostica non verrà visualizzata. L’invio ad Apple dei dati di diagnostica e uso verrà disattivato. Salta servizi di geolocalizzazione La pagina Servizi di geolocalizzazione non verrà visualizzata. L’utente non sarà in grado di abilitare i servizi di geolocalizzazione. Salta Siri La pagina Siri non verrà visualizzata. L’utente non sarà in grado di impostare Siri. Salta zoom del display La pagina Zoom del display non verrà visualizzata. L’utente non sarà in grado di modificare la vista del display. Salta ID Apple La pagina ID Apple non verrà visualizzata. L’utente non potrà accedere ai servizi di Apple con il proprio ID Apple. Salta Apple Pay La pagina Apple Pay non verrà visualizzata. L’utente non sarà in grado di aggiungere dati di carta di debito o credito per effettuare pagamenti negli store con Apple Pay. Salta ID Touch La pagina ID Touch non verrà visualizzata. L’utente non sarà in grado di impostare l’uso di un’impronta digitale invece di un passcode. Salta passcode La pagina Crea un passcode non verrà visualizzata. L’utente non sarà in grado di impostare un passcode per sbloccare il dispositivo. Salta termini e condizioni La pagina Termini e condizioni non verrà visualizzata. Guida in linea per amministratori 7. Nella scheda Informazioni sul supporto, è possibile configurare le seguenti impostazioni: Opzione Descrizione Reparto Il nome del reparto o del luogo associato al profilo. Questo nome è incluso tra le informazioni a cui l’utente può accedere cliccando su Informazioni sulla configurazione durante la configurazione del dispositivo. Numero telefonico Il numero di telefono del supporto per la vostra azienda. Questo campo è prepopolato con il numero di telefono presente nei dati di contatto del supporto tecnico. Vedere Configurazione dei dati di contatto del supporto tecnico a pagina 23. Nota: Il numero di telefono viene salvato internamente nel profilo DEP, ma non è disponibile sul dispositivo. E-mail L’indirizzo e-mail del supporto per la vostra azienda. Questo campo è prepopolato con l’indirizzo e-mail presente nei dati di contatto del supporto tecnico. Vedere Configurazione dei dati di contatto del supporto tecnico a pagina 23. Nota: L’indirizzo e-mail viene salvato internamente nel profilo DEP, ma non è disponibile sul dispositivo. 8. Nella scheda Associazione USB è possibile configurare i computer host ai quali il dispositivo è autorizzato a connettersi tramite porte USB. Questa opzione può essere utilizzata per sincronizzare il dispositivo con iTunes o per gestirlo con Apple Configurator. ■ ■ Per autorizzare la connessione USB a tutti gli host, selezionare Consenti associazione USB con tutti gli host. Per vietare la connessione USB o per limitarla a host specifici, deselezionare Consenti associazione USB con tutti gli host e caricare un file di certificato per ciascun host al quale il dispositivo è autorizzato a connettersi. 9. Una volta configurate tutte le schede della finestra di dialogo Modifica profilo DEP, cliccare su Applica per salvare il profilo DEP. 10. Per assegnare il profilo a tutti i nuovi dispositivi DEP ai quali non è stato assegnato manualmente alcun profilo, selezionarlo nell’elenco Profilo DEP predefinito assegnato ai nuovi dispositivi. Se si seleziona Nessuno, occorrerà assegnare manualmente un profilo DEP ai nuovi dispositivi DEP, come indicato nella sezione Distribuzione dei dispositivi DEP a pagina 161. Se non si effettua questa azione, i dispositivi DEP non verranno registrati a Sophos Mobile Control al momento dell'attivazione. 11. Cliccare su Salva per salvare le modifiche apportate. 18.7.3 Distribuzione dei dispositivi DEP Svolgere questa procedura per connettere i dispositivi all’Apple DEP e registrarli in Sophos Mobile Control. 161 Sophos Mobile Control È possibile gestire i dispositivi acquistati da Apple oppure da un rivenditore DEP autorizzato. Prima di poter connettere i dispositivi all’Apple DEP, occorre configurare il fornitore del dispositivo nel portale dell’Apple DEP. Nota: In un tipico flusso di lavoro DEP, questa procedura viene effettuata prima di fornire i dispositivi agli utenti per consentirne l’attivazione e l’uso. Nota: Per una descrizione dettagliata del portale dell’Apple DEP, consultare la Guida in linea degli Apple Deployment Program. Per assegnare i dispositivi a Sophos Mobile Control e per attribuirvi un profilo DEP: 1. Aprire nel browser il portale web degli Apple Deployment Program su https://deploy.apple.com e accedere con l’ID Apple aziendale. 2. Nel portale, cercare Programma di registrazione dispositivi > Gestisci dispositivi. 3. Sotto Scegli dispositivi per, selezionare i nuovi dispositivi in base a numero di serie o numero ordine, oppure caricare un file CSV contenente i numeri di serie dei propri dispositivi. Nota: Se i dispositivi sono stati acquistati da un rivenditore, saranno disponibili nel portale DEP entro 24 ore dall’invio ad Apple dell’ordine del rivenditore. 4. Sotto Scegli azione, selezionare Assegna al server e successivamente selezionare il server di MDM virtuale che è stato impostato per Sophos Mobile Control, come descritto nella sezione Impostazione di un server di MDM virtuale a pagina 157. 5. Cliccare su OK per effettuare l'assegnazione. A questo punto sarà possibile disconnettersi dal portale web dell’Apple DEP. Le fasi successive della procedura possono essere saltate, se è già stato configurato un profilo DEP predefinito come descritto in Creazione di un profilo DEP a pagina 158. 6. Accedere alla console web di Sophos Mobile Control utilizzando un account amministratore del cliente per il quale si desidera gestire i dispositivi DEP. 7. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi, e successivamente su Apple DEP. La pagina dei Dispositivi Apple DEP elenca tutti i dispositivi che sono stati assegnati a Sophos Mobile Control nel portale web dell’Apple DEP. 8. Se i dispositivi appena assegnati a Sophos Mobile Control non compaiono nell’elenco, cliccare su Sincronizza con il portale Apple DEP. Nota: Per limitare il carico dell’Apple DEP sul server, è possibile ripetere la sincronizzazione solamente dopo un breve periodo di attesa. 9. Selezionare i nuovi dispositivi e successivamente cliccare su Azioni > Assegna profilo. 10. Nella finestra di dialogo di conferma, selezionare il profilo DEP che si desidera assegnare ai dispositivi e cliccare su OK. Quando l'azienda riceverà i dispositivi acquistati, sarà possibile fornirli in dotazione agli utenti. Non occorreranno altre configurazioni. Quando un utente accenderà il proprio dispositivo per la prima volta, verranno effettuate sia l’impostazione di iOS che la registrazione a Sophos Mobile Control, secondo le configurazioni specificate nel profilo DEP che gli è stato assegnato. Se è stata selezionata l’opzione del profilo Assegna utente al dispositivo, come descritto in Creazione di un profilo DEP a pagina 158, gli utenti verranno automaticamente assegnati al proprio dispositivo. 162 Guida in linea per amministratori 18.7.4 Gestione dei dispositivi DEP I dispositivi DEP in Sophos Mobile Control vengono gestiti esattamente come i dispositivi che non fanno parte di questo programma. Vedere la sezione Gestione dei dispositivi a pagina 145. Solo per DEP è possibile assegnare un profilo DEP a un dispositivo. Il profilo DEP fornisce informazioni al server Apple al momento dell’attivazione del dispositivo. Vedere la sezione Creazione di un profilo DEP a pagina 158. Nota: Siccome i profili DEP vengono utilizzati solamente durante l’attivazione dei dispositivi, la modifica di un profilo DEP non provoca alcun effetto sul dispositivo, sino a quando quest’ultimo non venga reimpostato e nuovamente attivato. Per modificare il profilo DEP di un dispositivo: 1. Nella barra laterale del menù, sotto GESTISCI, cliccare su Dispositivi, e successivamente su Apple DEP. La pagina dei Dispositivi Apple DEP elenca tutti i dispositivi che sono stati assegnati a Sophos Mobile Control nel portale web dell’Apple DEP. 2. Cliccare su Sincronizza con il portale Apple DEP per aggiornare le informazioni del DEP. Nota: Per limitare il carico sul server dell’Apple DEP, l’opzione Sincronizza con il portale Apple DEP viene disattivata dopo una sincronizzazione e diventa nuovamente disponibile entro pochi minuti. 3. Selezionare i dispositivi ai quali si desidera assegnare un profilo DEP diverso. 4. Cliccare su Azioni > Assegna profilo. 5. Nella finestra di dialogo di conferma, selezionare il profilo DEP che si desidera assegnare ai dispositivi e cliccare su OK. 163 Sophos Mobile Control 19 Creazione di amministratori 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Amministratori per aprire la pagina Mostra amministratori, e successivamente cliccare su Creazione di amministratori. 2. Nella pagina Modifica amministratore, configurare i dettagli dell'account per l'amministratore. ■ ■ Quando Directory LDAP esterna viene utilizzata come directory utente per il cliente, è possibile cliccare su Ricerca utente con LDAP per selezionare un account LDAP già esistente. Se non si adopera una directory utente esterna, inserire i dati applicabili per Nome di accesso, Nome, Cognome, Indirizzo e-mail e Password. La password che verrà specificata sarà una password one-time. Al primo accesso, verrà richiesto all'amministratore di modificarla. 3. Nell’elenco Ruolo, selezionare uno dei ruoli disponibili. Il ruolo definisce il tipo di diritti di accesso a Sophos Mobile Control di cui disporrà il nuovo amministratore. Per maggiori informazioni, consultare la sezione Ruoli utente della console Web a pagina 9. 4. Cliccare su Salva per creare l'account amministratore. Il nuovo amministratore verrà così creato e visualizzato nella pagina Mostra amministratori. Inoltrare le credenziali utente (utente, cliente e password temporanea) al nuovo utente. Il nuovo utente potrà effettuare l'accesso alla console Web e gli verrà chiesto se desideri cambiare la password. 164 Guida in linea per amministratori 20 Invio di messaggi ai dispositivi Dalla console Web, è possibile inviare ai dispositivi gestiti messaggi definiti dall'utente. Dopo avere effettuato il bootstrap di un dispositivo iOS e l'installazione dell'app di Sophos Mobile Control, vengono inviati messaggi APN. Dopo aver impostato i dispositivi Android, vengono inviati messaggi push GCM. Dopo aver impostato un dispositivo Windows Mobile o Windows Desktop, vengono inviati messaggi MPNS. 20.1 Invio di messaggi a dispositivi singoli 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Selezionare il dispositivo desiderato, cliccare su Azioni e successivamente su Invia messaggio. Nota: È possibile selezionare vari dispositivi diversi. 3. Nella finestra di dialogo Inserisci messaggio, inserire il testo del messaggio che si desidera inviare. Il messaggio può contenere sino a un massimo di 500 caratteri. Sotto il campo di testo viene visualizzato il conteggio dei caratteri rimanenti. 4. Cliccare su Fine. 165 Sophos Mobile Control 21 Licenze SMC Advanced Per poter gestire da Sophos Mobile Control le app contenitore Sophos Secure Workspace, Sophos Secure Email e l'app Sophos Mobile Security, è richiesta una licenza SMC Advanced in corso di validità. Una volta effettuato l'acquisto, si riceverà una chiave di licenza SMC Advanced, che consentirà di attivare Sophos Mobile Security e le app contenitore Sophos. La modalità di attivazione delle licenze nella console Web dipende dal tipo di installazione di Sophos Mobile Control (installazioni in sede o Software as a Service). 21.1 Licenze attive per installazioni in sede Per le installazioni di Sophos Mobile Control in sede, le licenze Advanced di SMC vengono gestite da un amministratore con privilegi avanzati (super administrator) nell'ambito della gestione clienti. Per ulteriori informazioni, consultare la Guida per super administrator di Sophos Mobile Control. 21.2 Attivazione di licenze per le installazioni del Software as a Service 1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione e successivamente su Impostazione del sistema. Viene visualizzata la pagina Installazione del sistema. 2. Nella scheda Licenza, nel campo Chiave di licenza Advanced, inserire la chiave di licenza fornita da Sophos, quindi cliccare su Attiva. La licenza SMC Advanced per gestire Sophos Mobile Security e Sophos Secure Workspace è attiva. Il campo Attiva chiave di licenza mostra la chiave di licenza attivata. Il campo Numero di licenze mostra il numero degli utenti. Il campo Valido entro mostra la data di scadenza della licenza. 166 Guida in linea per amministratori 22 Gestione di Sophos Mobile Security da Sophos Mobile Control Sophos Mobile Security è un'app di protezione per dispositivi Android, che consente di proteggere i dispositivi da app malevoli, oltre che assistere gli utenti finali nel rilevamento di app autorizzate che potrebbero invece costituire un rischio per la sicurezza aziendale. La sua funzione di filtro Web consente di filtrare i siti Web in base alla categoria di appartenenza e di bloccare eventuali contenuti inappropriati. La funzionalità di gestione di Sophos Mobile Security è un modulo opzionale di Sophos Mobile Control. Per poter gestire un'app di Sophos Mobile Security da Sophos Mobile Control, è necessario disporre e avere attivata una licenza SMC Advanced nella console Web di Sophos Mobile Control. È possibile gestire un'app di Sophos Mobile Security su dispositivi gestiti dalla console Web di Sophos Mobile Control come descritto di seguito: ■ È possibile configurare le impostazioni dell'app di Sophos Mobile Security per tutti i dispositivi gestiti o appartenenti a utenti finali, in remoto o centralmente direttamente dalla console web. ■ È possibile verificare che l'app di Sophos Mobile Security sia installata su dispositivi di utenti finali e che esegua la scansione di tali dispositivi a intervalli regolari. Questa funzione può essere impostata come criterio di conformità. ■ È possibile scegliere di effettuare scansioni di dispositivi specifici. ■ È possibile visualizzare i risultati delle scansioni dei dispositivi nella console Web. Per ulteriori informazioni su Sophos Mobile Security, consultare la Guida in linea di Sophos Mobile Security. 22.1 Configurazione delle impostazioni antivirus per Sophos Mobile Security Prerequisito: si deve disporre di una licenza SMC Advanced. 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e quindi su Android. Viene visualizzata la pagina Profili e criteri. 2. Cliccare su Crea e selezionare Criterio di Mobile Security. Viene visualizzata la pagina Modifica criterio. 3. 4. 5. 6. Inserire un Nome e una Versione per il nuovo profilo. Nel campo Descrizione, inserire una descrizione del profilo. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. Cliccare su Aggiungi configurazione. Viene visualizzata la pagina Configurazioni disponibili. 167 Sophos Mobile Control 7. Scegliere Antivirus e cliccare su Avanti. Viene visualizzata la vista delle impostazioni di configurazione. 8. Andare alla scheda Antivirus. 9. Sotto Generale, è possibile specificare quanto riportato qui di seguito: a) Nel campo Modalità di scansione Cloud, indicare quando Sophos Mobile Security debba eseguire la scansione alla ricerca delle informazioni sul malware più recenti. Scegliere una delle seguenti opzioni per stabilire quando l'app debba utilizzare la ricerca in-the-cloud: ■ Sempre ■ Non durante roaming ■ Solo Wi-Fi Grazie a questa opzione è possibile controllare il traffico di dati dell'app. Se si imposta la Modalità di scansione Cloud su Solo Wi-Fi, la ricerca in-the-cloud verrà eseguite solo se il dispositivo dispone di una connessione Wi-Fi valida. Se si imposta la Modalità di scansione Cloud su Non durante roaming, la ricerca in-the-cloud non potrà essere mai effettuato quando il dispositivo è in roaming da una rete estera. b) Nel campo Intervalli della scansione pianificata, scegliere la frequenza delle operazioni di scansione. 10. Sotto Target, è possibile scegliere quanto riportato di seguito: a) Selezionare Scansione delle app di sistema per includere nelle scansioni le app di sistema. Le app di sistema non vengono sottoposte a scansione per impostazione predefinita essendo protette dal SO Android e non possono essere rimosse dall'utente. Qui viene comunque fornita l'opportunità di attivare la scansione anche per le app di sistema. b) Selezionare Scansione scheda SD, USB... per eseguire la scansione di tutte le app presenti nelle schede SD, nei dispositivi USB e in qualsiasi altro dispositivo di archiviazione esterna, oltre alla scansione predefinita di tutte le app installate nel dispositivo. 11. Sotto PUA, è possibile procedere come segue: a) Selezionare Rileva PUA per eseguire la scansione alla ricerca di applicazioni potenzialmente indesiderate (PUA). Le PUA sono app che, sebbene non siano malevoli, vengono comunemente considerate inappropriata per reti aziendali. Le PUA sono principalmente classificate in adware, dialer, monitor di sistema, oltre che tool di amministrazione remota e di hacking. Talune app che ricadono nella categoria delle PUA, possono essere considerate utili da alcuni utenti. Se si seleziona questa opzione, Sophos Mobile Security rileverà, durante la scansione, le PUA e invierà relative notifiche agli utenti finali. b) Selezionare Abilita l'utente ad autorizzare PUA per consentire agli utenti l'utilizzo di app sebbene siano state identificate come PUA. L'utente le può contrassegnare come da ignorare. Durante le successive scansioni, queste app non verranno più visualizzate come PUA. 168 Guida in linea per amministratori 12. Sotto App a bassa reputazione, è possibile stabilire come trattare le app appartenete a questa categoria. La classificazione delle app è basata sui dati forniti da Sophos Live Protection. Sotto Modalità, è possibile procedere come segue: a) Selezionare Consenti per disattivare la scansione delle app con bassa reputazione. b) Selezionare Avvisa per visualizzare un avviso sul dispositivo qualora venga rilevata una app con bassa reputazione. In questo caso gli utenti potranno scegliere come trattare l'app rilevata. Potranno decidere di aggiungere l'app all'elenco delle app consentite evitando così di ricevere avvisi quando questa app verrà rilevata. c) Selezionare Blocca per evitare l'utilizzo di app con bassa reputazione.Viene visualizzato un avviso e l'utente non potrà avviare l'app. 13. Sotto Live Protection, è possibile procedere come segue: a) Verificare che la voce Notifica scansione sia selezionata in modo tale da poter ricevere notifiche relative alle scansioni eseguite. b) Selezionare Monitora la scheda SD se si desidera vengano rilevate tutte le modifiche apportate alle schede SD. Nel caso in cui vengano aggiunti nuovi file alla scheda, questi verranno sottoposti a scansione. 14. Se i risultati della scansione includono app che dovrebbero essere autorizzate, sarà possibile aggiungerle all'elenco delle app consentite. Tutte le app incluse nell'elenco potranno essere sempre utilizzate dai dispositivi e non verranno più rilevate durante le scansioni future. Per identificare questo tipo di app, è possibile utilizzare i risultati della scansione di Sophos Mobile Security. Vedere la sezione Visualizzazione dei risultati della scansione di Sophos Mobile Security a pagina 171. Prima di poter autorizzare il lancio di queste app sui dispositivi, occorre aggiungerle a un Gruppo di app, procedendo come indicato nella sezione Utilizzo dei gruppi di app a pagina 141. 15. Per aggiungere app consentite, selezionare il Gruppo di app contenente le app consentite. 16. Cliccare su Applica. 22.2 Configurazione delle impostazioni di filtraggio web per Sophos Mobile Security Prerequisito: si deve disporre di una licenza SMC Advanced. L'app Sophos Mobile Security impedisce di accedere a siti web con contenuti malevoli, inappropriati o illegali. Nota: Il filtraggio web è compatibile solamente con il browser integrato e Google Chrome, dalla versione di Android 4.0 alla 5.1. 1. Nella barra laterale dei menù, sotto CONFIGURA, cliccare su Profili, criteri e quindi su Android. Viene visualizzata la pagina Profili e criteri. 2. Cliccare su Crea e selezionare Criterio di Mobile Security. Viene visualizzata la pagina Modifica criterio. 3. Inserire un Nome e una Versione per il nuovo profilo. 4. Nel campo Descrizione, inserire una descrizione del profilo. 5. Sotto Sistemi operativi, scegliere il sistema operativo a cui viene applicato il profilo. 169 Sophos Mobile Control 6. Cliccare su Aggiungi configurazione. Viene visualizzata la pagina Configurazioni disponibili. 7. Scegliere Web Filtering e cliccare su Avanti. Viene visualizzata la pagina Web Filtering. 8. Nel campo Filtra siti Web malevoli specificare se si desidera eseguire l'azione Consenti per autorizzare l'accesso a siti web malevoli, Avvisa per informare l'utente che si tratta di siti web malevoli o Blocca per impedire l'accesso a questi siti. 9. Sotto Filtra siti Web per categoria, specificare per ciascuna categoria se si desidera eseguire l'azione Consenti per autorizzare l'accesso ai siti web appartenenti a tale categoria, Avvisa per comunicare all'utente la presenza di contenuti malevoli, indesiderati o illegali, oppure Blocca per impedire l'accesso a tutti i siti web appartenenti a tale categoria. I siti Web vengono classificati in base ai dati dei SophosLabs. I dati a riguardo vengono aggiornati e caricati costantemente. 10. Sotto Eccezioni per siti web è possibile definire: a) Domini autorizzati: aggiunge domini o indirizzi IP autorizzati, anche se la categoria a cui appartengono è bloccata. b) Domini bloccati: aggiunge domini o indirizzi IP bloccati, anche se la categoria a cui appartengono è autorizzata. È possibile inserire nomi di dominio o indirizzi IP. Esempi: www.azienda.com, *.azienda.com, 10.2.0.1, 10.2.0.1/24 11. Cliccare su Applica. Le impostazioni specificate nella console web di Sophos Mobile Control non possono essere modificate nei dispositivi degli utenti finali, dove non sono infatti selezionabili. 22.3 Definizione delle impostazioni di conformità di Sophos Mobile Security Prerequisito: si deve disporre di una licenza SMC Advanced. Nella console Web è possibile scegliere impostazioni di conformità relative a Sophos Mobile Security. 1. Aggiungere una nuova regola di conformità oppure aprirne una esistente. Per ulteriori informazioni, consultare la sezione Regole di conformità a pagina 41. 2. Andare alla scheda Android. 3. Nel campo Intervallo massimo della scansione di SMSec, è possibile specificare l'intervallo massimo fra le scansioni alla ricerca di malware eseguite dall'app di Sophos Mobile Security nei dispositivi. 4. Nel campo Negazione delle autorizzazioni SMSec consentita, selezionare se una negazione delle autorizzazioni richieste debba essere considerata una violazione della conformità. 5. Nel campo App di malware consentite, scegliere se le app di malware rilevate debbano essere autorizzate o bloccate nei dispositivi. 6. Nel campo App sospette consentite, scegliere se le app sospette rilevate debbano essere autorizzate nei dispositivi. 170 Guida in linea per amministratori 7. Nel campo PUA consentite, scegliere se le PUA (applicazioni potenzialmente indesiderate) rilevate debbano essere autorizzate o meno nei dispositivi. 8. Una volta configurate tutte le impostazioni necessarie cliccare su Salva. 22.4 Visualizzazione dei risultati della scansione di Sophos Mobile Security Prerequisito: si deve disporre di una licenza SMC Advanced. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi, completa di tutti i dispositivi registrati a Sophos Mobile Control appartenenti al cliente selezionato. 2. Cliccare sull'icona a forma di triangolo blu di fianco al dispositivo richiesto, quindi cliccare su Modifica, oppure sul suo nome. Verrà visualizzata la pagina Mostra dispositivo o Modifica dispositivo. 3. Andare alla scheda Risultati scansione. La scheda mostra i risultati della scansione di Sophos Mobile Security. I pacchetti non puliti, come ad esempio le app potenzialmente indesiderate, vengono visualizzati in una tabella. Sotto Nome minaccia, è possibile cliccare sui link disponibili per visualizzare ulteriori informazioni, fornite direttamente dai SophosLabs, sul tipo di minaccia rilevata. 4. Andare alla scheda Violazioni alla conformità per visualizzare le violazioni alla conformità relative ai risultati della scansione. Le violazioni mostrate dipendono dalle impostazioni di conformità di Sophos Mobile Security. 22.4.1 Creazione dell'elenco Consenti per PUA e app con reputazione bassa È possibile utilizzare i risultati della scansione per creare un elenco di app autorizzate. Questo elenco potrà essere utilizzato in tutti i dispositivi Android aventi l'app Sophos Mobile Security installata per il cliente che ha effettuato l'accesso. 1. Selezionare la scheda Risultati scansione di uno dei dispositivi che sono stati sottoposti a scansione. La tabella include i pacchetti non puliti. La colonna intitolata Nome minaccia indica se il pacchetto visualizzato sia una app con reputazione bassa, una PUA o malware. Cliccare sul link a disposizione per ottenere maggiori informazioni sul tipo di minaccia in questione direttamente dai SophosLabs. Le app con reputazione bassa e le PUA presentano un icona blu a forma di simbolo di spunta, visualizzata a sinistra del pacchetto. Solo questo tipo di app può essere aggiunto all'elenco Consenti. 2. Cliccare sull'icona blu a forma di simbolo di spunta per aggiungere app all'elenco Consenti. Viene visualizzata la finestra di dialogo di conferma. 3. Cliccare su Sì. L'app viene aggiunta all'elenco Consenti. 4. Ripetere questa operazione per tutte le app che si desidera aggiungere. 5. Per visualizzare l'elenco, andare a Impostazioni e quindi cliccare su Generale. 171 Sophos Mobile Control 6. Cliccare su Mostra elenco Consenti. Vengono visualizzate tutte le app aggiunte. Tutte le app incluse nell'elenco potranno essere utilizzate nei dispositivi gestiti e non verranno più rilevate durante le scansioni. Cliccando su Cancella elenco Consenti, verranno eliminate tutte le voci presenti nell’elenco. 172 Guida in linea per amministratori 23 Gestione delle app contenitore Sophos Per una migliore separazione dei dati sui dispositivi gestiti, Sophos Mobile Control offre le app contenitore Sophos Secure Email e Sophos Secure Workspace: ■ Sophos Secure Email è un'app per dispositivi Android e Apple iOS che fornisce un contenitore sicuro per la gestione di e-mail, calendario e contatti. ■ Sophos Secure Workspace è una app per dispositivi Android e Apple iOS, che consente agli utenti di accedere a file cifrati e archiviati in-the-cloud. Tali file possono essere decifrati e consultati in modo semplice. I file cifrati possono essere inviati da altre app e caricati sui provider di archiviazione in-the-cloud supportati. In alternativa è possibile archiviare i documenti localmente sulla app. Sophos Secure Workspace consente la lettura dei file cifrati da SafeGuard Cloud Storage o SafeGuard Data Exchange, entrambi moduli di SafeGuard Enterprise, che consentono di effettuare la cifratura dei file utilizzando chiavi locali. Tali chiavi locali derivano dalla passphrase dell'utente. È possibile decifrare un file solo se si è a conoscenza della passphrase utilizzata per eseguirne la cifratura. L'app contenitore Sophos è una funzionalità di gestione disponibile come modulo opzionale di Sophos Mobile Control. Per poter gestire le app da Sophos Mobile Control, è necessario disporre di una licenza SMC Advanced attivata nella console web di Sophos Mobile Control. L'app contenitore Sophos offre: ■ Regole password definite centralmente ■ Regole password per tutte le app contenitore ■ Single-Sign-On per tutte le app contenitore ■ Impostazioni dei documenti per Sophos Secure Workspace ■ Impostazioni del browser per Sophos Secure Workspace ■ Impostazioni di Sophos Secure Email Per gestire le app Sophos sui dispositivi gestiti dalla console web di Sophos Mobile Control, procedere come segue: ■ Configurare le impostazioni delle app contenitore Sophos in remoto oppure centralmente dalla console Web, per tutti i dispositivi degli utenti finali gestiti. ■ Verificare che le app contenitore Sophos siano installate sui dispositivi degli utenti finali. Questa funzione può essere impostata come criterio di conformità. ■ Abilitare la distribuzione sicura dei documenti tramite il nuovo provider di archiviazione Documenti aziendali. Consultare la sezione Distribuzione di documenti aziendali a pagina 143. ■ È possibile abilitare la sincronizzazione dei keyring aziendali tra l’app Sophos Secure Workspace e Sophos SafeGuard Enterprise. Con questa operazione, le chiavi del keyring SafeGuard di un utente vengono messe a disposizione nel keyring Sophos Secure Workspace. Vedere la sezione Sincronizzazione dei keyring aziendali a pagina 175. Nota: Per poter gestire le app contenitore Sophos è necessario che vengano distribuite con Sophos Mobile Control. Se l’utente dovesse già avere una versione non gestita di Sophos Secure Workspace installata sui propri dispositivi, sarà necessario per prima cosa disinstallare questa versione e successivamente procedere all’installazione della versione gestita. 173 Sophos Mobile Control Per maggiori informazioni su Sophos Secure Workspace, consultare la Guida in linea di Sophos Secure Workspace. 23.1 Configurazione delle app contenitore Sophos Prerequisito: si deve disporre di una licenza SMC Advanced. Per informazioni su come configurare le app contenitore Sophos, vedere le sezioni Configurazioni disponibili per i criteri del contenitore Sophos a pagina 65 per Android e Configurazioni disponibili per i criteri del contenitore Sophos a pagina 105 per iOS. 23.2 Reimposta password dell'app contenitore Sophos La password dell'app contenitore Sophos può essere reimpostata. Questa operazione è particolarmente utile nel caso in cui gli utenti dimentichino la propria password. Quando viene reimpostata la password di un'app contenitore Sophos, agli utenti verrà chiesto di definire una nuova password per il contenitore. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Cliccare sul dispositivo in cui si desidera reimpostare la password della app. Verrà visualizzata la pagina Mostra dispositivo. 3. Cliccare su Azioni. Viene visualizzato il menu Azioni. 4. Cliccare su Reimposta password dell'app contenitore Sophos. Viene visualizzata la finestra di dialogo di conferma. 5. Cliccare su Sì. La password dell'app contenitore Sophos viene reimpostata sul dispositivo. L'utente dovrà inserire una nuova password per l'app contenitore Sophos. 23.3 Blocco e sblocco del contenitore Sophos È possibile impostare le autorizzazioni del contenitore in modo da impedire l'accesso ai dati aziendali contenuti nel contenitore Sophos. Se si imposta l'opzione Imposta accesso al contenitore Sophos su Nega, l'accesso al contenitore Sophos non verrà autorizzato. 1. Nella barra laterale dei menù, sotto GESTISCI, cliccare su Dispositivi. Verrà visualizzata la pagina Dispositivi. 2. Cliccare sul dispositivo per cui si desidera modificare le impostazioni di accesso al contenitore. Verrà visualizzata la pagina Mostra dispositivo. 3. Cliccare su Azioni. Viene visualizzato il menu Azioni. 174 Guida in linea per amministratori 4. Cliccare su Imposta accesso al contenitore Sophos. Viene visualizzata la finestra di dialogo per l'impostazione delle autorizzazioni di accesso ai documenti. 5. Selezionare una delle seguenti operazioni: ■ ■ ■ Nega per bloccare il contenitore Sophos. Gli utenti non saranno più in grado di utilizzarlo. Consenti per sbloccare il contenitore. Gli utenti potranno continuare a usarlo. Modalità automatica per verificare se siano state riportate violazioni della conformità relative al dispositivo. Se viene identificata una violazione della conformità, il contenitore verrà bloccato. 6. Cliccare su Sì. A seconda dell'opzione selezionata, il contenitore Sophos verrà bloccato o sbloccato. Se il contenitore è stato bloccato, sul dispositivo verrà visualizzata una schermata di blocco non appena un'app contenitore Sophos venga attivata. Gli utenti non potranno accedere ai documenti protetti dal contenitore Sophos, a meno che l'app non venga sbloccata. 23.4 Sincronizzazione dei keyring aziendali Le chiavi di cifratura aziendali dei keyring di Sophos SafeGuard Enterprise possono essere rese disponibili nell'app Sophos Secure Workspace. Gli utenti dell’app possono poi adoperare le chiavi per decifrare e visualizzare i documenti, oppure per cifrarli. Prerequisiti: ■ Bisogna utilizzare Sophos SafeGuard Enterprise 8.0. ■ Occorre che sia stata effettuata la configurazione della gestione esterna degli utenti per il portale self-service, come descritto nella sezione Configurazione della gestione degli utenti del portale self-service a pagina 31, utilizzando lo stesso database di utenti di Active Directory configurato in SafeGuard Enterprise. ■ Sophos Secure Workspace deve essere gestita da Sophos Mobile Control. Si richiede una licenza SMC Advanced. La sincronizzazione dei keyring aziendali aggiunge all’app Sophos Secure Workspace le seguenti funzionalità: ■ Le chiavi del keyring SafeGuard di un utente vengono messe a disposizione nel keyring Sophos Secure Workspace (keyring SSW). ■ Gli utenti possono continuare a utilizzare le chiavi locali che erano disponibili nel proprio keyring SSW, se è stata abilitata la sincronizzazione dei keyring. ■ Gli utenti non possono creare nuove chiavi locali. ■ Per motivi di sicurezza, le chiavi contenute nel keyring SafeGuard vengono rimosse da un dispositivo, quando il contenitore Sophos viene bloccato. Per abilitare la sincronizzazione dei keyring aziendali, occorre procedere come segue per impostare una connessione tra Sophos Mobile Control e Sophos SafeGuard Enterprise: 1. Nella barra laterale del menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema, e successivamente cliccare sulla scheda SGN. 175 Sophos Mobile Control 2. Seguire quanto indicato nella scheda SGN. La procedura includerà i seguenti passaggi di configurazione: a) Scaricare il file di certificato del server di Sophos Mobile Control. b) Nel SafeGuard Management Center, utilizzare il Configuration Package Tool per configurare il server di Sophos Mobile Control come client gestito. c) Caricare su Sophos Mobile Control il pacchetto di configurazione creato nel SafeGuard Management Center. 3. Nella scheda SGN, cliccare su Salva per salvare le impostazioni per l’integrazione di SafeGuard. 176 Guida in linea per amministratori 24 Glossario app gestita Un’app installata dal server di Sophos Mobile Control in uno qualsiasi dei seguenti metodi: ■ Installazione tramite bundle delle operazioni. ■ Installazione manuale dalla console web. ■ Solo per i dispositivi iOS, installazione avviata dall’utente dall’Enterprise App Store, se l’amministratore ha selezionato l’opzione Installazione gestita di SMC. bundle delle operazioni Un pacchetto che è possibile creare nella console web per raggruppare in una sola transazione diverse operazioni da svolgere. Sarà possibile unire insieme tutte le operazioni necessarie per completare la registrazione e rendere operativo un dispositivo. Client Sophos Mobile Control L’app Sophos Mobile Control installata sul dispositivo gestito. cliente Colui che gestisce il dispositivo. Console Web L'interfaccia Web del server utilizzata per gestire il dispositivo. dispositivo Il dispositivo da gestire (ad es. smartphone, tablet o dispositivo Windows 10). Licenza SMC Advanced Una licenza SMC Advanced aggiunge funzionalità a una licenza Standard, in quanto consente di gestire le app Sophos Mobile Security, Sophos Secure Workspace e Sophos Secure Email con Sophos Mobile Control. Portale self-service L'interfaccia Web di Sophos Mobile Control che consente agli utenti (PSS) finali di registrare i propri dispositivi ed effettuare altre operazioni senza dover richiedere l'intervento dell'helpdesk. provisioning Il processo di installazione del client di Sophos Mobile Control su un dispositivo. Enterprise App Store Un archivio di app ospitate sul server di Sophos Mobile Control. L’amministratore può aggiungere app all’Enterprise App Store con la console web. Gli utenti possono quindi utilizzare l’app Sophos Mobile Control per installare le suddette app sui propri dispositivi. SMSec Acronimo di Sophos Mobile Security utilizzato nell'interfaccia utente della console Web di Sophos Mobile Control. Sophos Mobile Security Un’app di protezione per i dispositivi Android. È possibile gestire questa app da Sophos Mobile Control, fermo restando che si disponga 177 Sophos Mobile Control di licenza SMC Advanced valida e attiva nella console Web di Sophos Mobile Control. 178 Sophos Secure Email Un'app per dispositivi Android e iOS che fornisce un contenitore sicuro per la gestione di e-mail, calendario e contatti. È possibile gestire questa app da Sophos Mobile Control, fermo restando che si disponga di licenza SMC Advanced valida e attiva nella console Web di Sophos Mobile Control. Sophos Secure Workspace Un'app per dispositivi Android e iOS che offre un'area di lavoro sicura, nella quale gli utenti possono navigare, gestire, modificare, condividere, cifrare e decifrare documenti provenienti da vari provider di servizi di archiviazione, o distribuiti dalla vostra azienda. È possibile gestire questa app da Sophos Mobile Control, fermo restando che si disponga di licenza SMC Advanced valida e attiva nella console Web di Sophos Mobile Control. utente finale L'utente finale del dispositivo. Guida in linea per amministratori 25 Supporto tecnico È possibile ricevere supporto tecnico per i prodotti Sophos in uno dei seguenti modi: ■ Visitando Sophos Community su community.sophos.com/ e cercando altri utenti con lo stesso problema. ■ Visitando la knowledge base del supporto Sophos su www.sophos.com/it-it/support.aspx. ■ Scaricando la documentazione del prodotto su www.sophos.com/it-it/support/documentation.aspx. ■ Aprendo un ticket col team di supporto su https://secure2.sophos.com/it-it/support/contact-support/support-query.aspx. 179 Sophos Mobile Control 26 Note legali Copyright © 2011 - 2016 Sophos Limited. Tutti i diritti riservati. Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione e altri mezzi, salvo che da un licenziatario autorizzato a riprodurre la documentazione in conformità con i termini della licenza, oppure previa autorizzazione scritta del titolare dei diritti d'autore. Sophos è un marchio registrato di Sophos Limited e Sophos Group. Tutti gli altri nomi di società e prodotti qui menzionati sono marchi o marchi registrati dei rispettivi titolari. 180